ゲッティイメージズ
デバイス製造業界全体のコンピューティング デバイスのセキュア ブート保護を侵害するサプライ チェーンの障害は、ATM、POS 端末、投票機で使用されるものなど、これまで知られていたよりもはるかに多くのモデルに及んでいます。
この大失敗は、10 年以上にわたって数百のデバイス モデルで使用されていた非実稼働テスト プラットフォーム キーが原因でした。これらの暗号キーは、ハードウェア デバイスとその上で実行されるファームウェア間の信頼のルート アンカーを形成します。証明書に「信頼しないでください」などのフレーズが刻印されたテスト実稼働キーは、実稼働システムで使用することを意図したものではありません。Acer、Dell、Gigabyte、Intel、Supermicro、Aopen、Foremelife、Fujitsu、HP、Lenovo など、デバイス メーカーの名だたる企業が、とにかくそれらを使用していました。
医療機器、ゲーム機、ATM、POS端末
プラットフォーム キーは、システム ファームウェアに埋め込まれた暗号化キーの形で信頼のルート アンカーを提供します。プラットフォーム キーは、プラットフォーム ハードウェアとその上で実行されるファームウェア間の信頼を確立します。これにより、デバイスのプリブート環境で暗号化によってセキュリティを強化する業界標準であるセキュア ブートの基盤が提供されます。UEFI (Unified Extensible Firmware Interface) に組み込まれたセキュア ブートは、公開キー暗号化を使用して、事前に承認されたデジタル署名で署名されていないコードの読み込みをブロックします。
テスト プラットフォーム キーを使用すると、セキュア ブートによって確立されたセキュリティ チェーン全体が危険にさらされます。セキュリティの基盤となる秘密部分は、数百人、場合によっては数千人の人々に知られている公開秘密だからです。さらに悪いことに、テスト キーの 1 つの秘密部分は、2022 年の GitHub の投稿で公開されました。この秘密情報は、セキュア ブートによって保護されているデバイスの UEFI に感染するいわゆるルートキットを植え付ける、高度に洗練された攻撃に不可欠な要素です。
セキュリティ企業 Binarly の研究者は、7 月に調査結果を公表して以来、テスト キーを使用しているデバイス モデルの数が、これまで知られていたよりもはるかに多いことを知りました。以前は、テスト キーを使用しているモデルは約 513 種類とわかっていましたが、現在は 972 種類とわかっています。さらに、影響を受けたモデルのうち約 215 種類が GitHub で侵害されたキーを使用していることは以前からわかっていましたが、現在は約 490 種類とわかっています。最後に、これまで特定していなかった 4 つの新しいテスト キーを発見し、合計数は約 20 になりました。研究者は、PK (プラットフォーム キー) が関係していることから、業界全体の障害を PKfail と名付けました。
「サプライチェーンの複雑さが、サードパーティのサプライヤーに関連するリスクを効果的に管理する能力を超えています」と、Binarly の研究員 Fabio Pagani 氏は月曜日に書いています。「PKfail は、業界全体に影響を及ぼすサプライチェーンのセキュリティ障害の好例です。しかし、設計段階からセキュリティを確保するという理念の実現にもっと重点を置けば、これらのリスクは軽減され、完全に回避できる可能性があります。」
これまで発見されたキーはすべて、デバイスメーカーが自社の特定のハードウェア構成で実行できるように UEFI ファームウェアをカスタマイズするために使用するソフトウェア開発キットの主要 3 社のうちの 1 社である AMI から提供されたものでした。7 月以降、Binarly は AMI の競合企業である Insyde と Phoenix から提供されたキーを発見しています。
Binarly は、次の 3 つのベンダーも PKfail の影響を受けるデバイスを販売していることを発見しました。
月曜日の投稿にはさらにこう書かれていた。「私たちのデータによると、PKfail と非製品版のキーが医療機器、デスクトップ、ラップトップ、ゲーム機、企業サーバー、ATM、POS 端末、投票機のような奇妙な場所に存在していた。」
Binarly の関係者は、まだ修正プログラムが提供されていないため、秘密保持契約を理由に具体的なモデルを明かさなかった。更新された数値は、来週予定されている LABScon セキュリティ カンファレンスで議論される予定だ。
追加のデバイス モデルとプラットフォーム キーは、Binarly が提供する無料の検出ツールへの送信によって発見されました。PKfail の研究が発表されてから数か月の間に、このツールには 10,095 件の固有のファームウェア イメージの送信が寄せられました。そのうち 791 件 (8%) には非製品版キーが含まれていました。
PKfail は、一部の政府請負業者に義務付けられ、多くの企業環境で必要とされる保護であるセキュア ブートによって提供される保証を弱体化します。セキュア ブートは、高リスクの脅威に直面している人々にとってのベスト プラクティスとも考えられています。セキュア ブートを使用していない人やデバイスにとって、PKfail は追加の脅威にはなりません。先月、PKfail には CVE-2024-8105 および VU#455367 の指定が割り当てられました。