1: デンジャラスバックドロップ(岐阜県)@\(^o^)/ 2015/02/18(水) 10:38:36.71 ID:8edjENmR0.net 
00-top

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明

セキュリティ対策ソフト大手のKaspersky(カスペルスキー)が「主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。

Equation_group_questions_and_answers.0.pdf (PDFファイル)
https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf

Russian researchers expose breakthrough U.S. spying program | Reuters
http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216

Kaspersky Labは、HDDのファームウェアに感染して情報収集をする新手のマルウェアを発見したことを明らかにしました。イラン、ロシア、パキスタン、アフガニスタン、中国マリ、シリア、イエメン、アルジェリアなどの30カ国のPCからこのマルウェアの感染例が発見されたとのこと。このマルウェアを作成したのはEquation groupとよばれる大規模なハッカー組織で、感染ターゲットには各国の政府関係機関、軍事機関、通信会社、金融機関、原子力研究者、メディア機関、イスラム主義活動家などが含まれているとしています。

HDDのファームウェアは、WindowsなどのOSが起動する前に動く基本プログラムであることから、ファームウェアに感染したマルウェアをセキュリティソフトで削除することは理論上困難。当然、HDDをフォーマット(初期化)したところで問題が解決することはなく、さらにはOSで制御している暗号化機能が突破される可能性すらあるとのこと。

3: 男色ドライバー(禿)@\(^o^)/ 2015/02/18(水) 10:39:44.50 ID:dYK9vRzu0.net
こんなウイルスを考えつく奴がすげえ

4: バーニングハンマー(チベット自治区)@\(^o^)/ 2015/02/18(水) 10:40:18.29 ID:TWWjAops0.net
発見できたら駆除するのも出来そうな気がするのだが・・・

8: スリーパーホールド(広島県)@\(^o^)/ 2015/02/18(水) 10:43:19.48 ID:IuxhZo6F0.net
>>4
OS上からだと無理って話なんじゃないかな。

16: 頭突き(茸)@\(^o^)/ 2015/02/18(水) 10:46:43.26 ID:p2cA7THz0.net
>>4
セキュリティソフトはOS上で動くけど、OSより先にスパイウェアが起動してて
その状態だと駆除を阻害、自己修復する機能があるってことじゃない

5: スターダストプレス(dion軍)@\(^o^)/ 2015/02/18(水) 10:40:19.66 ID:KkJ54Bwy0.net
まじかよ

10: ウエスタンラリアット(空)@\(^o^)/ 2015/02/18(水) 10:44:37.41 ID:rCIYJQan0.net
出どころ不明のバルクは怖いってだけかな

12: 栓抜き攻撃(福島県)@\(^o^)/ 2015/02/18(水) 10:45:28.24 ID:vqZ1SrGh0.net
>イラン、ロシア、パキスタン、アフガニスタン、中国
>マリ、シリア、イエメン、アルジェリアなどの30カ国のPCからこのマルウェアの感染例が
>発見されたとのこと。

アメリカ+イスラエルが作成した工作ウイルスっすな、露骨過ぎで笑えるw

14: トペ コンヒーロ(dion軍)@\(^o^)/ 2015/02/18(水) 10:46:12.21 ID:SgWBmyQi0.net
>カスペルスキーによると、このマルウェアはWestern Digital、Seagate、東芝、IBM、Micron、Samsungなどの
>主要メーカーが販売したストレージ上で見つかっています。なお、ロイターの取材に対して
>Western Digital、Seagate、Micronはこのマルウェアに関する情報を持ち合わせていないと回答し、
>東芝、Samsungは回答を拒否。IBMに至っては反応すらなかったそうです。

HDD終わったな(´・ω・`)

17: テキサスクローバーホールド(チベット自治区)@\(^o^)/ 2015/02/18(水) 10:47:41.23 ID:3fxzb1ZM0.net
紙とペンと電卓の時代に戻るのか。胸熱(´・ω・`)

19: ジャンピングエルボーアタック(茸)@\(^o^)/ 2015/02/18(水) 10:47:46.79 ID:+0OpG/0Z0.net
お前が駆除出来ないと思うんなら、そうなんだろ。

お前の中ではな。

20: 足4の字固め(宮城県)@\(^o^)/ 2015/02/18(水) 10:48:02.99 ID:3ke3czBh0.net
これ、中国の工場で作ったHDDヤツによく入ってるよ。
最低限中国製はやめておいたほうがいい。

124: 張り手(西日本)@\(^o^)/ 2015/02/18(水) 12:16:21.01 ID:zU9yINjQ0.net
>>20
ASUSのEeePCが流行った時に工場単位で仕込まれてたな

21: 超竜ボム(大阪府)@\(^o^)/ 2015/02/18(水) 10:48:35.56 ID:mzx3DNNQ0.net
SSDにもファームウェアはあるで

22: フェイスクラッシャー(埼玉県)@\(^o^)/ 2015/02/18(水) 10:50:04.52 ID:8P1Aw9yz0.net
感染する経路が判らんな

33: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ 2015/02/18(水) 10:55:04.51 ID:VHM0Te0J0.net
>>22
工場出荷時だよ
シスコのルーターのCPUなんかも中国で作ったやつはバックドアがあるってことで米軍は使ってない

40: シャイニングウィザード(空)@\(^o^)/ 2015/02/18(水) 10:57:47.95 ID:RbE8jX750.net
>>33
それってつまり出荷される前にクラッカーがウイルスを侵入させてるってこと?

46: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ 2015/02/18(水) 11:02:24.46 ID:VHM0Te0J0.net
>>40
そういうレベルじゃなくて国策というとこ
ファーウェイが人民解放軍から出資受けてるのもアメリカに納入禁止なのも今や秘密でも何でもない

138: マスク剥ぎ(千葉県)@\(^o^)/ 2015/02/18(水) 12:40:04.12 ID:9oYWhjdt0.net
>>46
笑い話にもならんな

23: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ 2015/02/18(水) 10:50:12.49 ID:VHM0Te0J0.net
すでにUSBの制御チップに感染させるマルウェアってのが実証されてるからもうどうにもならんよ
そら中国は米軍の最高機密レベル情報盗み放題だよなっていう
今やキーボードもマウスも信用出来ないんだ

32: ショルダーアームブリーカー(西日本)@\(^o^)/ 2015/02/18(水) 10:55:01.50 ID:vW/wRko80.net
カスペルスキーってウィルスには詳しいけど製品はダメダメなイメージ
なんでだろうね

34: 張り手(埼玉県)@\(^o^)/ 2015/02/18(水) 10:55:07.03 ID:1YaG16XK0.net
HDDの時代は終わったな
これからはクラウドストレージの時代だよ
ローカルPC上にHDDはもういらないね

38: セントーン(千葉県)@\(^o^)/ 2015/02/18(水) 10:57:30.65 ID:sxrq1Eyr0.net
>>34
ストレージ用の鯖はHDD使ってないのか

41: ファイヤーバードスプラッシュ(静岡県)@\(^o^)/ 2015/02/18(水) 10:58:44.11 ID:UWqdVLBP0.net
>>34
OS

37: 張り手(大阪府)@\(^o^)/ 2015/02/18(水) 10:57:28.80 ID:6Qo+xoxs0.net
どう考えてもNSAがらみだわな

39: ドラゴンスクリュー(家)@\(^o^)/ 2015/02/18(水) 10:57:47.15 ID:9ZJ6xrqO0.net
ネットに繋げなきゃいいだけの話だな
困ったね

47: マシンガンチョップ(新疆ウイグル自治区)@\(^o^)/ 2015/02/18(水) 11:02:28.09 ID:QiGB6uPy0.net
>>39
目的は反米テロリストを見つけたりすることなんだから
ほとんどの日本人には関係ねーよ

44: サッカーボールキック(やわらか銀行)@\(^o^)/ 2015/02/18(水) 11:00:42.18 ID:t4KjjOCd0.net
物理フォーマットすればいいんか?

48: エメラルドフロウジョン(大阪府)@\(^o^)/ 2015/02/18(水) 11:02:29.37 ID:o7wanPuO0.net
>>44
ファームウェアをアセンブリライターで書き換えないとだめ

49: トペ スイシーダ(catv?)@\(^o^)/ 2015/02/18(水) 11:02:45.21 ID:pVJYqISS0.net
>>44
フォーマットした所で、コレはHDDですって認識させるファームに仕込まれてるから無理 って事かと

52: ローリングソバット(新疆ウイグル自治区)@\(^o^)/ 2015/02/18(水) 11:03:47.26 ID:nxSoqdyO0.net
物理的に破壊すればよい(本末転倒)

55: ブラディサンデー(東京都)@\(^o^)/ 2015/02/18(水) 11:04:39.95 ID:o9r2UIQQ0.net
ファームウェアってことはSSDもやばいんじゃね
一番の対策はそのHDDを取り外すことくらいか

61: アトミックドロップ(やわらか銀行)@\(^o^)/ 2015/02/18(水) 11:10:37.67 ID:ssHip3dK0.net
HDDの基本ソフトなんてあるんだな
たいした仕組みじゃないんだろうが

63: ジャンピングパワーボム(茸)@\(^o^)/ 2015/02/18(水) 11:11:39.98 ID:uw3clQrn0.net
メーカーが国に頼まれて仕込んでるんだろ

69: 閃光妖術(茸)@\(^o^)/ 2015/02/18(水) 11:14:38.15 ID:9Pq1Bgx+0.net
しかたない。
全部クラウドでやろう

82: トペ スイシーダ(北海道)@\(^o^)/ 2015/02/18(水) 11:24:29.75 ID:jqqx7hD70.net
>>69
クラウドは外タレの画像が流出しまくったから…
見られて困るものがある人は困るだろうな

72: アイアンクロー(チベット自治区)@\(^o^)/ 2015/02/18(水) 11:15:46.74 ID:w1+AAW/J0.net
OSなしPCでHDDツール走らせてフォーマットなら大ジョブだろ?
だがインスコ後のの盾がないな
「windows10なら大丈夫」きっとこうくるわ

100: レッドインク(禿)@\(^o^)/ 2015/02/18(水) 11:41:54.00 ID:xYNLQ3bC0.net
>>72
ファームウェアだからフォーマットとは全く関係ない

87: トラースキック(禿)@\(^o^)/ 2015/02/18(水) 11:29:48.18 ID:KsQaxe5F0.net
これって内蔵型のみのはなしだよね?????

109: ニールキック(宮城県)@\(^o^)/ 2015/02/18(水) 11:51:36.02 ID:AjwWWH8t0.net
>>87
ttp://japan.zdnet.com/article/35060498/
DLLも作られており、Windows上からアクセス可能なデバイスは
もれなく脅威にさらされる。だいたいATAPIデバイスとかのファーム
ウェア書き換えなんて、外付けドライブでも珍しいことじゃなかった
でしょ。

OS管理外にある書き換え可能な領域を持つデバイスは数多い。
基本的にファームウェア更新機能を持つものは、書き換え可能な
ヒミツの記憶領域を持っているに等しく、HDD、SSD、光学ドライ
ブや数多のUSBストレージが全部アウトになりかねん。

94: リバースパワースラム(青森県)@\(^o^)/ 2015/02/18(水) 11:35:16.15 ID:s1/cd2ee0.net
もともと暗号化回避を狙って開発されたものだろコレ
どっかの国の諜報機関が元だろうな。
ファームに全部収まる形になるかどうかはしらんけど
os側に寄生したウィルスからみてhddの暗号化を無効にする
程度のことは簡単にできそうだな

101: シューティングスタープレス(やわらか銀行)@\(^o^)/ 2015/02/18(水) 11:42:00.99 ID:g0zcWicx0.net
SSDとかFWのアプデをユーザーに任せてるようだから起こるんだろ
絶対穴は見つかるんだから

メーカーはFWはROMにしろよ
不完全な製品は売るな売るなら全交換しろ

103: トペ スイシーダ(新疆ウイグル自治区)@\(^o^)/ 2015/02/18(水) 11:45:22.65 ID:krmODz7H0.net
とりあえず入ってるかどうかのチェックは出来るのかよ?
ファームウェアに食いつく奴なら安全なディスクに中身をクローンさせたら
どうなんだろ?

104: 不知火(山口県)@\(^o^)/ 2015/02/18(水) 11:46:49.90 ID:ayJvZ3za0.net
まあ仕様だわなw

105: アイアンフィンガーフロムヘル(新疆ウイグル自治区)@\(^o^)/ 2015/02/18(水) 11:48:33.78 ID:0dPgnHFo0.net
思うにこれだけでは情報を抜き取ったりどこかに送ることは
無理な気がするんだけど

暗号化された情報や、ユーザーが削除したと思ってる情報を
密かに蓄えておくことはできるだろうとは思う

秘密部隊が急襲(またはこそ泥)してHDD回収するんじゃないか

107: サッカーボールキック(catv?)@\(^o^)/ 2015/02/18(水) 11:49:11.10 ID:FeDko9+K0.net
組み込みマイコンレベルだから
フロッピーも光学もZIPも駄目でしょ
MOはガラパゴス化してるからセーフ?
USBメモリで何とかならんかな

108: 断崖式ニードロップ(やわらか銀行)@\(^o^)/ 2015/02/18(水) 11:50:41.67 ID:o3HIy0wH0.net
>>107
USBも脆弱性見つかってるから何か挿したらアウト

120: チキンウィングフェースロック(茸)@\(^o^)/ 2015/02/18(水) 12:13:22.25 ID:RRlDCefO0.net
os「何者だ」
ウィルス「HDDファームウェアです」
os「よし通れ」

123: ショルダーアームブリーカー(神奈川県)@\(^o^)/ 2015/02/18(水) 12:15:03.61 ID:TfLKBqN80.net
>>120
偽装の名人が何万何億と押しかけてくるだけだから、どんなにパッチをあてても無駄なのかもな

136: 張り手(庭)@\(^o^)/ 2015/02/18(水) 12:37:44.78 ID:axRI6vMz0.net
そんなの分かりきってた話だろ
BIOSだってなんだって仕込もうと思えば仕込めるし
OS上から書き換えることだって可能だし
完全な対策なんて安全を確認した後マスクROMに書き込んで交換するしかない
考えるだけ無駄

137: 膝十字固め(富山県)@\(^o^)/ 2015/02/18(水) 12:38:34.15 ID:2HkFJZ/J0.net
>>1を読めばCDとかUSBから起動して駆除することが可能ということだけどな
素人には面倒だと

140: ハーフネルソンスープレックス(大阪府)@\(^o^)/ 2015/02/18(水) 12:43:08.66 ID:h1lCkFQc0.net
感染してないメディアからブートしてファームウェア書き換えするしか方法がないのか。
HDDのデータも全部ふっとぶだろうし邪魔くせえな。

141: ムーンサルトプレス(東京都)@\(^o^)/ 2015/02/18(水) 12:47:09.62 ID:oZCeBn910.net
ネットから切断しておけば問題無い。一生つなげるな、何もつけるな。

元スレ: ・http://hayabusa3.2ch.sc/test/read.cgi/news/1424223516/