「欠陥のあるセキュアブートスキームが蔓延しつつある」とエフセキュアのハードウェアセキュリティチームが警告
セキュアブートプロセスについては、それほど頻繁に耳にすることはないかもしれません。しかしながら、これはシステムセキュリティにとって極めて重要なプロセスです。
だからこそ、エフセキュアのハードウェアセキュリティチーム(英語)は、セキュアブートスキームを作成、解析、調査することに多くの時間を費やしています。これまでも、この成果としてセキュアブートスキームに欠陥のある製品を数多く発見してきましたが、先日、新たに発見した設計上の欠陥を2つ開示しました。攻撃者がこれらの欠陥を悪用すると、自動車、航空機、家電、産業用コンポーネントに使用されている特定のシステムオンチップ(SoC)を侵害することが可能になります。
このチームが発見したのは、Xilinx(ザイリンク)社のZynq UltraScale+ SoCにおける2つの欠陥で、チップの「暗号化のみ (Encrypt Only) 」ブートモードに問題がありました。1つ目の欠陥は、ブートROMによって実行されるブートヘッダ解析に関する問題です。2つ目の欠陥は、パーティションヘッダテーブルの解析に関する問題です。攻撃者は、ブート手順の初期段階でブートヘッダを改ざんし、その内容を変更して任意のコードを実行できるため、「Encrypt Only」モードで提供されるセキュリティ対策をバイパスすることが可能になります。そして、最終的に攻撃者は、デバイス上の機密情報データとプロセスを侵害するために必要なアクセス権を取得できるのです。
残念ながら、最初の問題はソフトウェアパッチでは対処できません。2つ目の問題は理論的にはアップデートで修復することができますが、最初の問題が依然として残っているため、パッチで攻撃を防ぐことはできません。
エフセキュアのハードウェアセキュリティチームが発行したアドバイザリ(英語)に、これらの欠陥と企業への影響の詳細な技術的説明が掲載されています。しかし、今回の発見における最も重要な側面は、ソフトウェアセキュリティをハードウェアに組み込む際に、セキュリティへの影響を考慮せずにセキュアブートの実装が行われているという事実を例示していることです。
「セキュア/トラステッドブートなどのセキュリティ機能とプロセスをハードウェアに組み込む場合、ハードコードされたROMコードを設計または実装上の欠陥から保護することが重要です。」とエフセキュアのハードウェアセキュリティ部門の責任者であるAndrea Barisani(アンドレア・バリサーニ)(英語) は述べています。「したがって、私たちのテストと検証はこの領域に焦点を当てています。ほとんどの場合、脆弱性がもたらす影響によりハードウェア自体の交換を迫られますが、実際にそれができるとは限らないことは明らかです。」
エフセキュアのハードウェアセキュリティチームは、セキュリティエンジニアリングとサイバーセキュリティコンサルティングを独自に組み合わせて構成されており、セキュリティに関してユニークな視点を提供しています。そのため、彼らの専門知識は、航空機、自動車、および産業分野で使用されるクリティカルシステムのセキュリティ保護に対して頻繁に適用されます。
セキュアブートという用語は、通常、特定のデバイス上で、認証済みコードだけを実行できるようにすることを目的とした、ハードウェアセキュリティ機能と、ファームウェアおよびソフトウェアセキュリティ対策との詳細に及ぶ相互作用を指します。通常、デバイスはセキュアブート手順を使用して信頼できるコードだけを実行することで、暗号化されたコンテンツの完全性を確保します。
今回の発見は、主にこれらのチップを使用することにより、製造するコンポーネントのファームウェア、アセット、およびランタイム環境における認証と機密性を強化しているOEMメーカーに影響を与えます。この6月に、エフセキュアはXilinxに対してこれらの欠陥を通知しました。Xilinxは既にアドバイザリ(英語)を発行し、影響を受ける製品のテクニカルリファレンスマニュアルを更新しています。XilinxとAndreaは、組織が「暗号化のみ」オプションの代わりとして「ハードウェアRoot of Trust(信頼の基点)」モードを使用することを推奨しています。
しかし、Andreaによると、今回のケースは組み込まれた(または欠如した)接続性とセキュリティの現状に関する深刻な問題を示唆しているとのことです。
「インターネットに対応した機器は、ほぼすべての業界に行き渡っているため、安全でないROMとブートプロセスを抱えた製品が増加していることに皆気付き始めています。」とAndreaは説明しています。「クリティカルなシステムに不可欠なコンポーネントが、実は安全ではなく交換する必要があるという状況に企業が直面した時、脆弱であってもパッチを当てられないハードウェアコンポーネントは、あらゆる種類の機器に深刻な問題を引き起こす懸念があります。そして、その交換プロセスには莫大なコストがかかる可能性があるため、システム全体をリプレイスする以外に解決の道がない場合もあり得るのです。」
カテゴリ