UEFIは従来のBIOSに変わるソフトウェアインターフェースの仕様で、OSが起動する前に改ざんされていないかどうかをチェックするセキュアブートというプロトコルが規定されています。サイバーセキュリティ企業・ESETの研究者が、ハッカーが「Windows 11のセキュリティ保護をバイパスしてマルウェアをインストールし、脆弱(ぜいじゃく)なPCを完全に制御できる」とされる「BlackLotus」と呼ばれるブートキットを5000ドル(約68万円)で販売していると報告しました。

BlackLotus UEFI bootkit: Myth confirmed | WeLiveSecurity

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

BlackLotus bootkit can bypass Windows 11 Secure Boot: ESET | CSO Online

https://www.csoonline.com/article/3689160/blacklotus-bootkit-can-bypass-windows-11-secure-boot-eset.html

It's official: BlackLotus malware can bypass secure boot • The Register

https://www.theregister.com/2023/03/01/blacklotus_malware_eset/

Dangerous BlackLotus bootkit can be used to hijack Windows 11 PCs | Tom's Guide

https://www.tomsguide.com/news/dangerous-blacklotus-bootkit-can-be-used-to-hack-even-fully-updated-windows-11-pcs

ESETの研究チームが、BlackLotusと呼ばれるUEFIブートキットが、セキュリティ上重要な機能であるUEFIセキュアブートをバイパスして脆弱なPCを完全に制御できることを発表しました。





UEFIセキュアブートは、システムが信頼できるソフトウェアとファームウェアでのみ起動するように設計されているプロトコルで、OS起動前にマルウェアの実行による感染や不正なOSの読み込みを防止することができますが、BlackLotusはコンピューターの起動プロセスに感染することでこのセキュアブートを無視するマルウェアだとされています。

BluckLotusは2021年12月に発見されたCVE-2022-21894というセキュリティ上の脆弱性を悪用して、UEFIセキュアブートのプロセスをバイパスし、対象のPCに対する永続性を確立します。マイクロソフトは2022年1月にこの脆弱性に対する修正パッチをリリースしましたが、ESETによると影響を受けるバイナリがUEFI失効リストに追加されていないため、依然としてハッカーはこの脆弱性を悪用できるとのこと。





BlackLotusに感染した場合、BitLockerやHVCI、Microsoft DefenderなどのOSにおけるセキュリティ保護機能が無効化されてしまうとされています。





BlackLotusの主な目的は、コンピューター内に独自のカーネルドライバーを展開し、不正なブートキットを排除しようとするセキュリティ保護機能からカーネルを保護することだと考えられています。また、BlackLotusは特定のユーザーモードやカーネルモードをロードできるHTTPダウンローダーの展開も行います。





ESETによると、BlackLotusはハッカーによって2022年10月頃から5000ドル(約68万円)で販売されており、政府に対するハッキングやスパイ活動に使用される可能性が指摘されています。テクノロジー系ニュースメディア・Tom's Guideは「BlackLotusは確かに危険ですが、通常のハッカーは一般のユーザーに対するマルウェアをすでに数多く保有しています。そのため、BlackLotusは基本的に大企業や政府機関を標的として使用される可能性があります」と述べています。

なおESETは、BlackLotusをはじめとする脅威からOSやPCを保護するために、システムとセキュリティソフトを最新の状態に保つことを推奨しています。