HybridPetya ランサムウェア: UEFI Secure Boot 回避の脅威
2025年9月15日 | ESET セキュリティレポート
HybridPetyaの概要
2025年9月、ESETの研究者が「HybridPetya」と呼ばれる新型ランサムウェアを発見しました。これは、2016〜2017年に猛威を振るった「Petya」「NotPetya」マルウェアに着想を得たもので、Windowsの起動を妨害し、復旧手段を提供しない破壊的な性質を持っています。
今すぐ必要な対応
- Windows更新: 2025年1月のセキュリティパッチ(CVE-2024-7344対応)を適用
- UEFIファームウェア確認: マザーボードメーカーの最新ファームウェアを適用
- バックアップ: 重要データのオフラインバックアップを定期的に実施
脆弱性の詳細情報 (CVE-2024-7344)
脆弱性の概要
- CVE番号: CVE-2024-7344
- 発見日: 2024年
- 影響範囲: Howyar製「Reloader」UEFIアプリケーション
- 攻撃手法: UEFI Secure Bootの署名検証バイパス
- 深刻度: 高(CVSS 8.2)
想定される被害
- システム起動の完全な妨害
- ファイルシステム(MFT)の暗号化
- データ復旧不能
- ランサム要求($1,000相当のビットコイン)
被害状況ダッシュボード
世界の脅威マップ
HybridPetyaの潜在的脅威分布を地域別に表示(推定データ)
インシデント対応タイムライン
脆弱性発見
2024年 - ESETによりCVE-2024-7344(Howyar「Reloader」)が発見
影響範囲調査
2024年後半 - UEFI+GPT構成のWindowsデバイスが影響を受けることを確認
パッチ開発・リリース
2025年1月 - Microsoftがセキュリティパッチをリリース、脆弱なバイナリを除外
HybridPetya検出
2025年9月 - ESETがHybridPetyaのPoCを確認、攻撃未確認
技術的詳細と攻撃シナリオ
脆弱性の技術的詳細
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2024-7344 |
| 攻撃タイプ | UEFI Secure Boot 署名検証バイパス |
| 影響コンポーネント | Howyar製「Reloader」UEFIアプリケーション |
| CVSS スコア | 8.2(高) |
| 攻撃ベクター | ローカル(管理者権限または物理アクセス) |
UEFI Secure Bootとは
UEFI Secure Bootは、起動時に署名済みの信頼できるコードのみを実行することで、マルウェアの侵入を防ぐ仕組みです。OSが起動する前の段階で、ブートローダーやドライバの署名を検証します。
脆弱性の本質
CVE-2024-7344は、Howyar社製「Reloader」に存在する設計ミスに起因します。「Reloader」は、EFIシステムパーティション内の固定パス(例:\EFI\Howyar\Reloader\)にある実行ファイル(例:ReloaderPayload.efi)を署名検証なしで実行します。攻撃者がこのパスに未署名の悪意あるコードを配置すれば、Secure Bootが有効でも無条件に実行されてしまいます。
使用されているのは、標準のLoadImageやStartImage関数ではなく、独自のPEローダー。このローダーは、cloak.datなどのファイルから直接UEFIバイナリを読み込み、署名の有無に関係なく実行します。実行はOS起動前に行われるため、完全な権限でのコード実行が可能です。
改ざん対象のファイル
config: 暗号化フラグ、鍵、nonce、被害者IDを格納verify: 復号鍵の検証に使用counter: 暗号化進捗を追跡bootmgfw.efi.old: 元のブートローダーのバックアップcloak.dat: XOR処理されたブートキット(Secure Boot回避用)
攻撃シナリオ
HybridPetyaの攻撃は以下の流れで進行します:
- UEFI+GPT構成の検出: システムがUEFI+GPT構成であることを確認
- ブートキットの展開: EFIパーティションにブートキットを配置、
cloak.datに難読化されたコードを格納 - ブートローダーの改ざん: 正規の
bootmgfw.efiをbootmgfw.efi.oldにバックアップし、脆弱なreloader.efiに置換 - 強制再起動: 偽のブルースクリーン(BSOD)を表示し、再起動を誘導
- MFT暗号化: 再起動後、MFTクラスタをSalsa20暗号で暗号化
- 偽CHKDSK表示: システム修復を装う偽のCHKDSKメッセージを表示
- ランサムノート表示: $1,000相当のビットコインを要求
復号プロセス
被害者が支払いを行うと、32文字の復号キーが提供され、元のブートローダーが復元され、暗号化されたクラスタが復号されます。
# 攻撃例(簡略化)
# 1. EFIパーティションにアクセス
copy malicious_ReloaderPayload.efi \EFI\Howyar\Reloader\
# 2. ブートローダーを改ざん
move bootmgfw.efi bootmgfw.efi.old
copy reloader.efi bootmgfw.efi
# 3. 再起動でブートキット実行
shutdown /r /t 0
よくある質問
HybridPetyaの影響を受けているか確認する方法は?
UEFI+GPT構成のWindowsデバイスを使用している場合、2025年1月以前のセキュリティパッチ未適用のシステムが影響を受ける可能性があります。Windows Updateとファームウェアのバージョンを確認してください。
パッチ適用にかかる時間はどの程度ですか?
システム規模によりますが、Windows UpdateとUEFIファームウェアの更新を合わせて通常30分〜1時間程度です。事前にバックアップを作成してください。
攻撃を受けた場合の復旧方法は?
オフラインバックアップからシステムを復元し、Microsoftの公式サポートまたはセキュリティ専門家に相談してください。ランサム支払いは推奨されません。
防御策とベストプラクティス
ソフトウェア更新
WindowsおよびUEFIファームウェアを最新バージョンに保ち、2025年1月のセキュリティパッチを適用しましょう。
オフラインバックアップ
重要データを定期的にオフライン(外付けHDD、NASなど)にバックアップしましょう。
セキュリティ意識
不審なリンクや添付ファイルを避け、セキュリティ教育を受講しましょう。
EFIパーティション保護
EFIシステムパーティションへの不正アクセスを監視し、書き込み保護を導入しましょう。
ログ監視
UEFIおよびOSのログを定期的に監視し、異常なアクティビティを検出しましょう。
アクセス制御
管理者権限を制限し、二要素認証を導入しましょう。
セキュアなUEFI開発
UEFIアプリケーションで署名検証を徹底し、固定パスの使用を避けましょう。
セキュリティテスト
UEFIコードに対し、定期的なセキュリティスキャンやペネトレーションテストを実施しましょう。
セキュアコーディング
UEFI開発において、Microsoftのセキュリティガイドラインに従いましょう。
セキュリティチェックリスト
チェックリストを完了してセキュリティレベルを向上させましょう
コメント