【ITニュース解説】New HybridPetya ransomware can bypass UEFI Secure Boot
2025年09月13日に「BleepingComputer」が公開したITニュース「New HybridPetya ransomware can bypass UEFI Secure Boot」について初心者にもわかりやすく解説しています。
ITニュース概要
新種ランサムウェア「HybridPetya」が発見された。これは、OS起動時のセキュリティ機能UEFI Secure Bootを回避し、EFIシステムパーティションに悪意あるプログラムをインストールできる。PCの起動前からシステムを乗っ取る、危険な攻撃手法だ。
ITニュース解説
コンピュータのセキュリティを巡る最近のニュースで、「HybridPetya」という新しい種類のランサムウェアが発見され、その危険性が大きな注目を集めている。このランサムウェアは、システムエンジニアを目指す上で理解しておくべき非常に高度な技術を駆使し、特に「UEFI Secure Boot」というコンピュータの重要なセキュリティ機能を回避できる点が問題視されている。
まず、UEFIとは何かを簡単に説明する。コンピュータの電源を入れると、すぐにOS(WindowsやmacOSなど)が起動するわけではない。その前に、コンピュータの基本的なハードウェアを初期化し、OSを起動するための準備を行うソフトウェアが動作する。これが「UEFI(Unified Extensible Firmware Interface)」だ。UEFIは、従来の「BIOS」というシステムに代わって登場し、より高速な起動、より大きなストレージのサポート、そしてセキュリティ機能の強化を実現している。これはコンピュータの「ファームウェア」と呼ばれる最も根幹の部分に組み込まれており、OSが起動するよりも前に動作し、コンピュータ全体の動作を制御する土台となる。
このUEFIが提供する重要なセキュリティ機能の一つが「Secure Boot(セキュアブート)」だ。Secure Bootは、悪意のあるソフトウェアがコンピュータの起動プロセスに介入し、OSが立ち上がる前にシステムを乗っ取ろうとするのを防ぐことを目的としている。具体的には、OSやドライバ、その他の起動に必要なプログラムが、コンピュータメーカーやMicrosoftのような信頼できるベンダーによって発行された「デジタル署名」を持っているかどうかを、起動時に厳しくチェックする。もし、署名のない、あるいは偽造された署名を持つプログラムが見つかれば、UEFIはその実行をブロックし、OSの起動を停止させる。これにより、悪質なプログラムが起動段階で実行されるのを防ぎ、コンピュータの安全性を守る仕組みだ。
しかし、今回発見されたHybridPetyaは、この堅固なSecure Bootの仕組みを「バイパス(回避)」できるという点で非常に危険である。通常、OSが起動するために必要なファイルは「EFI System Partition(ESP)」と呼ばれる特別な領域に保存されている。ESPは、OSを起動するためのプログラム(ブートローダー)や、Secure Bootに必要な署名情報などが含まれる、システムにとって極めて重要なパーティションだ。Secure Bootが有効であれば、本来、このESPに悪意のあるファイルが書き込まれることは防がれるはずだった。
HybridPetyaは、このSecure Bootによる検証プロセスを巧妙にすり抜け、悪意のあるアプリケーションをESPにインストールしてしまう。具体的にどのような手法でバイパスするのか、その全容はまだ明らかになっていない部分もあるが、既存の正規の署名済みファイルに存在する脆弱性を悪用したり、「Bootkit(ブートキット)」と呼ばれる、OSが起動するよりも前の段階で動作するマルウェアの技術を応用している可能性が高いと考えられている。Bootkitは起動プロセスそのものを乗っ取るため、OS上で動作する一般的なウイルス対策ソフトなどでは検出が非常に困難となる。
このHybridPetyaの攻撃の深刻さは、従来の多くのランサムウェアがOSが起動した後に動作し、ファイルやアプリケーションを暗号化するのに対し、OSが起動するよりも「前」の段階でコンピュータを乗っ取ろうとするところにある。もしESPに悪意のあるプログラムが書き込まれてしまえば、次にコンピュータを起動する際、その悪意のあるプログラムがOSよりも先に実行されることになる。これにより、コンピュータの起動プロセスが乗っ取られ、正常なOSの起動が妨げられたり、あるいはOSが立ち上がる前にランサムウェアがシステム全体を制御し、コンピュータ全体を暗号化したりする恐れがある。
Secure Bootは、まさにこのような「起動前攻撃」からシステムを守るために導入された機能であり、それを回避できるHybridPetyaのようなランサムウェアは、これまでのセキュリティ対策の概念を大きく揺るがすものだ。従来のウイルス対策ソフトは、OSが起動した後に動作するため、この種の起動前攻撃には効果が薄い場合が多い。これは、OSレベルでのセキュリティ対策だけでは不十分であり、ファームウェアレベル、つまりコンピュータの最も基本的な部分におけるセキュリティの重要性が改めて浮き彫りになったことを意味している。
システムエンジニアを目指す上では、このようにコンピュータの最も深い層で動作するセキュリティ機能と、それを狙う最新の脅威の仕組みを理解することが不可欠だ。HybridPetyaのような攻撃は、単にファイルを暗号化するだけでなく、コンピュータの起動そのものを乗っ取ることで、より根深い損害を与える可能性を秘めている。今後、このような高度な起動前攻撃からシステムを守るための新しいセキュリティ技術の開発や、既存のUEFIファームウェアの脆弱性対策がさらに求められることになるだろう。これは、セキュリティの最前線で働くエンジニアが常に新しい知識を学び、対応策を考えていく必要性を示唆する出来事である。