次の方法で共有


Defender for Endpoint での UEFI スキャン

最近では、Microsoft Defender for Endpoint新しい Unified Extensible Firmware Interface (UEFI) スキャナーを使用して、保護機能をファームウェア レベルに拡張しました。

最新のセキュリティ ソリューションにより、オペレーティング システムの永続化と検出回避が困難になったので、ハードウェアとファームウェアレベルの攻撃は近年増加し続けています。 攻撃者はブート フローを侵害して、検出が困難な低レベルのマルウェアの動作を実現し、organizationのセキュリティ体制に重大なリスクを与えます。

Windows Defender System Guardは、ハイパーバイザー レベルの構成証明セキュリティで保護された起動 (動的信頼ルート (DRTM) とも呼ばれる) などのハードウェアでサポートされるセキュリティ機能を通じて、セキュリティで保護されたブートの保証を提供することで、ファームウェア攻撃から防御するのに役立ちます。これは、セキュリティで保護されたコア PC で既定で有効になっています。 Defender for Endpoint の新しい UEFI スキャン エンジンは、ファームウェア スキャンを広く利用できるようにすることで、これらの保護を強化します。

UEFI スキャナーは、Windows 10以降のバージョンの組み込みウイルス対策ソリューションの新しいコンポーネントであり、Defender for Endpoint にファームウェア ファイルシステム内をスキャンしてセキュリティ評価を実行する独自の機能を提供します。 パートナーチップセットメーカーの分析情報を統合し、Defender for Endpoint によって提供される包括的なエンドポイント保護をさらに強化します。

前提条件

UEFI スキャナーとは

統合拡張ファームウェア インターフェイス (UEFI) は、 従来の BIOS に代わるものです。 チップセットが正しく構成されていて (UEFI & チップセット構成自体)、 セキュア ブート が有効になっている場合、ファームウェアは合理的に安全です。 ハードウェアベースの攻撃を実行するために、攻撃者は脆弱なファームウェアまたは正しく構成されていないマシンを悪用して ルートキットをデプロイします。これにより、攻撃者はマシンに足がかりを得ることができます。

予想されるブート フローと侵害されたブート フローを示すスクリーンショット

図に示すように、 正しく構成されているデバイスの場合、電源投入から OS の初期化までのブート パスは信頼できます。 セキュア ブートが無効になっている場合、またはマザーボード チップセットが正しく構成されていない場合、攻撃者はファームウェアで署名されていない、または改ざんされた UEFI ドライバーの内容を変更できます。 これにより、攻撃者がデバイスの制御を引き継ぎ、オペレーティング システムのカーネルまたはウイルス対策を奪ってファームウェアのセキュリティを再構成する機能を提供する可能性があります。

UEFI プラットフォームの初期化

シリアル周辺機器インターフェイス (SPI) フラッシュには、重要な情報が格納されます。 その構造は OEM の設計に依存し、一般にプロセッサ マイクロコード更新プログラム、Intel Management Engine (ME)、ブート イメージ (UEFI 実行可能ファイル) が含まれます。 コンピューターを実行すると、プロセッサは UEFI の SEC フェーズ中に SPI フラッシュからファームウェア コードを実行します。 メモリの代わりに、フラッシュはx86リセットベクトル(物理アドレス0xFFFF_FFF0)に永続的にマップされます。 ただし、攻撃者は、ソフトウェアによってベクターをリセットするためのメモリ アクセスを妨げる可能性があります。 これを行うには、誤って構成されたデバイスで BIOS コントロール レジスタを再プログラミングし、セキュリティ ソフトウェアがブート中に実行される内容を正確に判断することがさらに困難になります。

インプラントがデプロイされると、検出するのが難しくなります。 このレベルの脅威をキャッチするために、OS レベルのセキュリティ ソリューションはファームウェアからの情報に依存しますが、信頼のチェーンは弱体化しています。

技術的には、ファームウェアは格納されておらず、メインメモリからアクセスできません。 他のソフトウェアとは対照的に、SPI フラッシュ ストレージに格納されるため、新しい UEFI スキャナーはハードウェア製造元が提供するハードウェア プロトコルに従う必要があります。 互換性があり、すべてのプラットフォームで最新の状態にするには、プロトコルの違いを考慮する必要があります。

UEFI スキャナーの内部の概要を示すスクリーンショット

UEFI スキャナーは、ハードウェア フラッシュ ストレージから取得したファームウェアに対して動的分析を実行します。 ファームウェアを取得することで、スキャナーはファームウェアを解析し、Defender for Endpoint が実行時にファームウェア コンテンツを検査できるようにします。

UEFI スキャナーを有効にする方法

新しい UEFI スキャナーは、Microsoft Defenderウイルス対策のコンポーネントであるため、プライマリ AV である限り、UEFI ファームウェアをスキャンしてアクセスするこの機能が含まれています。

UEFI スキャナーの管理方法

これは、Microsoft Defenderウイルス対策の組み込み機能です。 そのため、追加の管理はありません。

Defender for Endpoint の UEFI スキャナーのしくみ

新しい UEFI スキャナーは、マザーボード チップセットと対話することで、実行時にファームウェア ファイル システムを読み取ります。 脅威を検出するために、次のような複数の新しいソリューション コンポーネントを使用して動的分析を実行します。

  • シリアル周辺機器インターフェイス (SPI) を介してファームウェアに到達する UEFI 反ルートキット
  • ファームウェア内のコンテンツを分析するフル ファイルシステム スキャナー
  • エクスプロイトと悪意のある動作を識別する検出エンジン

ファームウェア スキャンは、不審なドライバーの読み込みなどのランタイム イベントや定期的なシステム スキャンによって調整されます。 検出は、[保護履歴] の下のWindows セキュリティで報告されます。

NVRAM の悪意のあるコンテンツのWindows セキュリティ通知を示すスクリーンショット

Defender for Endpoint のお客様は、Microsoft Defender ポータルでアラートとして発生した検出を確認できるため、セキュリティ運用チームは、環境のファームウェア レベルでファームウェア攻撃や疑わしいアクティビティを調査して対応できます。

悪意のあるコードを検出する Defender for Endpoint アラートを示すスクリーンショット

SPI フラッシュで未知の脅威を検出するために、UEFI スキャナーからの信号を分析して、異常と実行された場所を特定します。 異常は、調査のためにMicrosoft Defender ポータルに報告されます。

UEFI のマルウェア インプラントに対する Defender for Endpoint アラートを示すスクリーンショット

次に示すように、これらのイベントも高度なハンティングを通じて照会できます。

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

低レベルの保護による包括的なセキュリティ レベルアップ

新しい UEFI スキャナーは、信頼の強いハードウェア ルートから OS レベルのクラウドを利用したセキュリティ ソリューションまで、チップからクラウドへのセキュリティを提供するために統合される豊富な Microsoft テクノロジのセットに追加されます。

セキュア起動やデバイス構成証明などのハードウェアによってサポートされるセキュリティ機能は、ファームウェア攻撃を阻止するのに役立ちます。 これらの機能は、 セキュリティで保護されたコア PC で既定で有効になっており、Defender for Endpoint とシームレスに統合され、包括的なエンドポイント保護を提供します。

UEFI スキャナーを使用すると、 Defender for Endpoint は、攻撃者が取り組みにますます集中しているファームウェア レベルで、脅威をより詳細に可視化します。 セキュリティ運用チームは、この新しいレベルの可視性と、Defender for Endpoint の豊富な検出と対応機能を使用して、このような高度な攻撃を調査して含めることができます。

このレベルの可視性は、Microsoft Defender ポータルでも使用できます。これにより、エンドポイント、ID、電子メール、アプリ間の保護を調整する、より広範なクロスドメイン防御が実現されます。