Japan

サイト内の現在位置を表示しています。

PCを再セットアップしてもマルウェアを除去できない可能性の考察

サイバーインテリジェンス
  • Share

2025年3月13日

多くのマルウェアは侵害したデバイス上で再起動に備えた永続性の獲得を実施します。これらはスタートアップフォルダやレジストリの変更などOSの機能を利用して実行されるため、マルウェアの完全な除去のためにOSをクリーンインストールしてPCを再セットアップするといった対処は広く実施されています。ではこの再セットアップを回避するマルウェアは存在するのでしょうか。今回はこの可能性について考えていきます。

エグゼクティブサマリー

  • ESETはLinuxをターゲットにした初のUEFIブートキットを発見したと発表
  • ブートキットはOSが起動する前の段階に感染するマルウェアで、OSを再インストールしても除去できない場合がある
  • ブートキットの他にもマルウェア感染後にPCを再セットアップ(OSクリーンインストール)してもマルウェアが除去できないケースとして、インストールメディアにマルウェアが混入している場合、OSインストール後の自動設定の仕組みによりマルウェアが混入する場合、OSインストール後に脆弱な状態でネットワークに接続してネットワーク経由でマルウェアが混入する場合の3つが考えられる
  • マルウェアを除去する目的でPCを再セットアップする場合、再感染する可能性を考慮して行う必要がある

目次

Linuxをターゲットにした初のUEFIブートキットが発見される

ブートキットとは

ブートキットとはファームウェア等のOSが起動する前の段階に感染するマルウェアのことです。ブートキットは従来のマルウェアと比較して次のような特徴を有しています。

  • OSが起動する前の段階に感染するため、OSを再インストールしても除去できない場合がある
  • ウイルス検知などのセキュリティソリューションは通常はOSレベルで動作するため、OSからのアクセスが制限されるファームウェアレベルでの感染を検出しにくい場合がある

最近のPCはUEFI(Unified Extensible Firmware Interface: OSが起動する前のハードウェアの初期化やOSの起動などのインターフェースを提供するファームウェア) が標準で導入されていることがほとんどです。ここではUEFIに感染するタイプのブートキットをUEFIブートキットと呼んでいます。

UEFIブートキット「Bootkitty」

これまでUEFIブートキットはOSとしてWindowsをターゲットとしたものがほとんどでしたが、Linuxをターゲットとした初のUEFIブートキット「Bootkitty」を発見したとESETが2024年11月27日に同社のサイトで発表しました[1]。またESETの発表を受けてBinarlyは同社のブログで「Bootkitty」は動作原理としてLogoFAIL (CVE-2023-40238)の脆弱性を悪用していることを発見したと伝えています[2]。
「Bootkitty」を動作させるためにはLogoFAILの脆弱性を持つことのほか、特定のOSであること、特定のデバイスであること、セキュアブートを無効にしていることなどの厳しい制約があるため、発見当初より「Bootkitty」は実際に展開され悪用されたものではなく概念実証(PoC)である可能性が高いとされていましたが、のちにサイバーセキュリティを学ぶ韓国の学生が研究用に作成したものであったことが判明しています。いずれにせよ「Bootkitty」はサーバやネットワーク機器などで利用されるLinuxシステムをターゲットとしたブートキットの実現性を証明し、潜在的な脅威を示すものでした。

OSを再インストールしてもマルウェアが除去できないケース

ブートキットはPCの再セットアップ(OSの再インストール)を行っても除去できない場合があるという特徴を持ちますが、ブートキット以外にもOSを再インストールしてもマルウェアが除去できないケースが考えられます。ここでは主に考えられる3つのケースを挙げています。なお「OSを再インストールしてもマルウェアが除去できないケース」は、ここで挙げたものが全てではないことには留意ください。

OSのインストールメディアにマルウェアが混入しているケース

まず一つ目がOSのインストールメディアにマルウェアが混入しているケースが考えられます。具体的な事例としては、LinuxディストリビューションのLinux MintのWebサイトが侵害を受け、Linux Mintのインストールイメージへのリンク先が改ざんされたことを発表した2016年の事例です[3]。リンク先がマルウェアが組み込まれたLinux Mintのインストールイメージとなっていました。不正なインストールイメージを入手した可能性がある場合は、ファイルのハッシュ値を算出して正しいものであるか検証し、もしマルウェアが混入したインストールメディアを使ってOSをインストールした場合はPCをオフラインにしてデータをバックアップした上でPCを初期化すること、および機密性の高い情報が漏洩した可能性を考慮すること(パスワードなどの変更)などをLinux Mintは呼び掛けました。

OSのインストール後の自動設定の仕組みからマルウェアが混入するケース

次に考えられるのが、OSをインストールした後の設定やアプリ導入などを自動的に行う何らかの仕組みにおいてマルウェアが混入するケースです。こちらは具体的な事例があるわけではないのですが、たとえばWindowsには「プロビジョニングパッケージ」という、OSのインストールと同時に設定やアプリの導入を自動で行う仕組みがありますが[4]、このプロビジョニングパッケージにマルウェアを自動で導入するような内容が含まれていた場合、マルウェアの除去を目的にOSを再セットアップしたとしても、再度マルウェアに感染する可能性があります。

OSのインストール後にネットワークに接続した際にマルウェアが混入するケース

その次に考えられるのが、OSをインストールした後に、まだ脆弱性のパッチが適用されていない状態でネットワークに接続し、ネットワーク経由で脆弱性を突かれてマルウェアが混入するケースです。少々古い事例ですが、2003年に発生したマルウェア「Blaster」[5]は非常に感染力が強く、また当時普及していたWindows XPは初期状態ではネットワーク経由でのマルウェア感染に対して非常に脆弱であったため、OSインストール後にパッチをあてるためにネットワークに接続すると即座にBlasterに感染するといった事例も多数報告されました。

マルウェアに感染したPCを再セットアップする際に気を付けるべきこと

以上をもとにマルウェアに感染したPCを再セットアップする際に気を付けるべきことを以下にまとめます。繰り返しになりますが、ここで挙げたものを遵守すればマルウェアに感染しないことを保証するものではないことには留意ください。

  • ブートキットの感染の可能性を考慮し、ファームウェアの更新が可能であれば更新を行う
  • OSのインストールメディアが汚染されている可能性を考慮し、インストールメディアは正しい入手先から常に最新のものを入手して作成する
  • OSをクリーンインストールした後の自動設定の仕組みを利用している場合、それがマルウェアに汚染されている可能性を考慮し、再度作り直すなどの見直しを行う
  • ネットワークに接続した際にマルウェアに感染する可能性を考慮し、最新のパッチを適用し終えるまでは隔離された環境で作業を行う

参照文献

[1] new windowBootkitty: Analyzing the first UEFI bootkit for Linux
[2] new windowLogoFAIL Exploited to Deploy Bootkitty, the first UEFI bootkit for Linux
[3] new windowBeware of hacked ISOs if you downloaded Linux Mint on February 20th! – The Linux Mint Blog
[4] new windowプロビジョニングパッケージ(.ppkgファイル)とは - IT用語辞典 e-Words
[5] new window爆発的流行の兆し? Blasterウイルス対策マニュアル

この記事を執筆したアナリスト

郡司 啓(Gunji Satoshi)
専門分野:脅威インテリジェンス

入社以来ネットワーク機器開発、セキュリティコンサルティング業務などを経て、現在は脅威インテリジェンス提供に関わるほか、NECグループのサイバーセキュリティ意識向上を目的とした社内ブログの発信、社内セキュリティ教育等に従事。CISSP、情報セキュリティスペシャリストを保持。

サイバーインテリジェンスアナリスト一覧