UEFI(Unified Extensible Firmware Interface)はOSより下位で動作するファームウェアインターフェースであり、ここを狙う攻撃はWindowsを再インストールしても除去できない。2023年末に発表されたarXiv論文「SoK: Security Below the OS」は、UEFI攻撃の全体像をMITRE ATT&CKに基づいて体系化した包括的分析として注目されている。さらに2025年1月には、実在の復旧ソフトウェアを悪用してセキュアブートをバイパスするCVE-2024-7344が公開されており、UEFI脅威は研究上の話ではなく現実の問題だ。
この記事でわかること:
- UEFIを狙う攻撃(ブートキット)がなぜ危険なのか
- 最新のUEFI脆弱性(CVE-2024-7344)の概要
- 研究が示す攻撃パターンの分類と実務への示唆
- 情シスが今すぐ点検すべきこと
UEFIとは何か、なぜ狙われるのか
UEFIとは、コンピュータの電源投入後にOSが起動する前に実行される、ハードウェアとソフトウェアの橋渡し役となるファームウェア仕様です。従来のBIOSを置き換えるものとして、現在ほぼすべての企業PCに搭載されています。
UEFI層への攻撃がとりわけ深刻なのは、以下の理由からです:
- OS再インストールでは除去不可:UEFI/ファームウェアに潜伏したマルウェア(ブートキット)はOSより下位に存在し、Windowsフォーマット後も生き残る。
- ウイルス対策ソフトが届かない:一般的なEDRやウイルス対策はOS起動後に動作するためUEFI層を監視できない。
- セキュアブートすら回避される:CVE-2024-7344はセキュアブートを有効にしていても悪用可能だった。
arXiv論文「SoK: Security Below the OS」が示す脅威の全体像
arXiv掲載の論文「SoK: Security Below the OS — A Security Analysis of UEFI」(2023年11月、v2更新)は、UEFI関連攻撃の急増を背景に、学術・実証・実際のインシデントを横断した体系的分析を行いました。本論文はarXivに掲載されたプレプリント(査読前の研究)であり、今後内容が変わる可能性がある点に留意ください。
論文の主な成果:
- UEFIエコシステムの解剖:サプライチェーン構造(AMI・Phoenix・Insyde等のファームウェアベンダー、PCメーカー、エンドユーザーの3層)と起動プロセスを整理。
- MITRE ATT&CKベースのタクソノミー:実際の攻撃事例とPoC(概念実証)を収集し、戦術・技術・サブ技術にマッピング。ルートキット防止・脅威検出・感染システムの復旧に活用可能。
- 攻撃ベクトルの分類:物理アクセス、ソフトウェア経由(OS管理者権限昇格後)、サプライチェーン汚染の3経路を体系化。
論文が特に強調するのは、UEFI攻撃の多くは「OSの管理者権限取得後」に仕掛けられる点です。つまりUEFIセキュリティは、権限昇格を許さない前段階の対策と一体で考える必要があります。
直近の実例:CVE-2024-7344(2025年1月公開)
ESETが2025年1月に公開したCVE-2024-7344は、UEFIセキュアブートのバイパスを可能にする脆弱性で、次の市販復旧ソフトウェアの署名済みUEFIコンポーネント(reloader.efi)に存在しました:
| 製品名 | 影響バージョン |
|---|---|
| Howyar SysReturn | v10.2.023以前 |
| Greenware GreenGuard | v10.2.023以前 |
| Radix SmartRecovery | v11.2.023以前 |
| Sanfong EZ-back System 他 | 各社修正版を参照 |
攻撃の流れは次のとおりです:①ローカル管理者(Windowsの場合)またはroot(Linux)権限を取得 → ②EFIシステムパーティション(ESP)上のブートローダーを脆弱なreloader.efiに置換 → ③cloak.datという暗号化ファイルに悪意あるUEFIアプリを格納 → ④再起動でセキュアブートを無効化し任意コードを実行。
Microsoftは2025年1月14日のWindows Update(月例パッチ)で当該バイナリをDBX(失効リスト)に追加し無効化しています。
情シスはどうすべきか
UEFI攻撃への対策は、一般的なウイルス対策とは異なる視点が必要です。まず押さえるべき点を整理します。
今すぐ点検すべき事項
- ファームウェアアップデートの実施:PCベンダー(Dell・HP・Lenovo等)のサイトでUEFIファームウェアの最新版を確認する。多くの組織でここが抜けがちな盲点になっている。
- セキュアブートの有効確認:全社PCでセキュアブートが有効になっているかを確認する(CVE-2024-7344が示すように100%万能ではないが、基本的な防御として必要)。
- Windows Updateの月例パッチ適用:CVE-2024-7344対策のDBX更新を含む2025年1月以降のパッチが適用されているかを確認する。
- EFIシステムパーティションへのアクセス制限:不要なユーザーにESPへのアクセスを許可しないよう権限設定を見直す。
体系的なBIOS・UEFIセキュリティの指針については、IPAの「中小企業の情報セキュリティ対策ガイドライン」を参照のうえ、端末管理の観点でファームウェア更新を運用フローに組み込むことをお勧めします。
現場目線:ファームウェア管理の「三重苦」
UEFI対策を実務で進める上での正直な課題は、「対象が多い・差異が大きい・見えにくい」の三重苦にある。社内PCのメーカー・世代・ファームウェアバージョンが混在する環境で一元管理するツールは、大企業向けの高額ソリューションに偏りがちで、中規模以下の情シスには手が届きにくい。セキュアブートが有効かどうかさえ、全台確認できていない組織は珍しくないのが実情だ。
今できる現実的な一歩は、新規導入PCの受け入れ基準にファームウェアバージョン確認を加え、月例パッチと連動してファームウェア更新の確認日程を設定することだ。CVE-2024-7344が示したように、攻撃はOSの管理者権限を取得した後に仕掛けられる——つまりUEFI対策は「権限を取られた後の最後の砦」だ。その砦がどこにあるかを把握するところから始めたい。
まとめ
- UEFIはOSより下位で動作するため、従来のセキュリティ対策(EDR・ウイルス対策・OS再インストール)が効かない攻撃(ブートキット)が存在する。
- arXiv論文「SoK: Security Below the OS」(査読前プレプリント)は、UEFI攻撃を物理アクセス・OS権限昇格後・サプライチェーン汚染の3経路で体系化し、MITRE ATT&CKにマッピングした。
- CVE-2024-7344(2025年1月)でセキュアブートバイパスが実証済み。ファームウェア更新・月例パッチ適用・EFIパーティションの権限管理が対策の起点となる。
出典・参考
- arXiv「SoK: Security Below the OS — A Security Analysis of UEFI」:https://arxiv.org/abs/2311.03809
- ESET「UEFIセキュアブートに潜在する脅威:CVE-2024-7344」:ESETブログ(日本語)
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/index.html
