BIOSのウイルス感染について教えてください

BIOSのウイルス感染について4点教えてください。

1

BIOSの設定画面では

各デバイスの有効・無効
SATAをATAまたはAHCIのどちらを選ぶか

等の項目の設定ができますが

BIOSがウイルスに感染した場合にBIOSの書き換えられる場所というのは、


上記のようなBIOS設定画面で設定できる項目に限られるのでしょうか？

それとも

BIOS設定画面で表示される項目以外も書き換えられるのでしょうか？


仮にBIOS設定画面で表示される項目に限られるのであれば、BIOS設定画面の各項目が変更されていないか目視で確認できると思います。

ただ、BIOS設定画面で表示される項目以外も書き換えられるのであれば、その書き換えはどのようにして確認すればよいのでしょうか？


2

BIOSがウイルスに感染するケースは滅多になく、基本的に無視してよいものなのでしょうか？


3

BIOSがウイルスに感染した場合、どのような被害が考えられるでしょうか？

個人的には、ファイルに実行ファイルが付加されたり、ファイルを外部にアップロードされたり、リモートから操作されるといったことを恐れています。


4

BIOSが書き換えられた場合に、元のBIOS設定に戻すにはどうすればよいでしょうか？

No.4 ベストアンサー 回答者： VDSL 回答日時： 2013/02/24 19:18

こんにちわ。

一応セキュリティを仕事としている者です。

> 1.BIOS設定画面で表示される項目以外も書き換えられるのでしょうか？
できます。BIOSメニュー = BIOSという小さなソフトウェアで実装されている機能なので、BIOS自体を書き換えれば、マザーボードに実装されていても現在のBIOSでは操作できない機能を操作することもできます。最近は見かけませんが、以前は某メーカの標準BIOSにないメニュー(隠し機能)を出すカスタムBIOSが、有志の手で公開されていたこともあります。

> 2. BIOSがウイルスに感染するケースは滅多になく、基本的に無視してよいものなのでしょうか？
昔はありましたが最近はすっかり見かけなくなりました。BIOSを改変してもできることは限られているので、お金儲けに繋がらない = ウイルスを作る側にメリットがないからだと思われます(最近のウイルスやマルウェアはお金儲けを意図したものが非常に多い)。

> 3. BIOSがウイルスに感染した場合、どのような被害が考えられるでしょうか？
以前はコンピュータを起動不可能にするものが多かったですが、最近は複雑な手順を経てOS上のファイルに感染するものもあります(参考URLを見てください)。ただし、別の方も書かれていましたが、あえてBIOSを狙わずとももっと効率がいい攻撃手法がありますし、BIOSの後継であるUEFIにはセキュリティ機能も実装されているので、今後一層BIOSの悪用は難しくなってゆくと思われます。

> 4. BIOSが書き換えられた場合に、元のBIOS設定に戻すにはどうすればよいでしょうか？
ハードウェア的に二重化されている場合(例 : ダイハードBIOS)を除けば、基本的に外部から正規のBIOSを書き戻すしかありません。手順は感染状況やマザーボードによりますが、最悪の場合はメーカー修理になります。

参考URL：http://www.symantec.com/connect/blogs/bios

この回答へのお礼

>最近は複雑な手順を経てOS上のファイルに感染するものもあります

HDDをゼロフィル・リカバリーしても、感染しているBIOSは残ったままのため、OS上のファイルに再度感染することを恐れています。

お礼日時：2013/02/24 20:11

No.6 回答者： noname#178551 回答日時： 2013/02/25 23:06

パソコンが２０～３０年持つなら やる価値ありそうです。

あなたのPC 何年 持つと思いますか？

寿命の間に ほぼ無い ことに労力使うより

目に見えない脅威 の対策を考えるほうがいいと思います。

そこまで考えるのであれば むしろ OSを1ヶ月置きに再インストールのが良いかも。


BIOS感染といっても Netから直に いきなり BIOSに入るとも考えにくいし
何かしら段階なりあるんじゃないかなって 素人ながらに思います。

そんなことより PC内をクリーンにすることや
Temp等 怪しいファイルが入りやすい場所を 見やすい場所に置き
常に 削除して綺麗にしておくとか。

バックで何か動いてそうなときは 再インストール（最近は復元）
するとか よほど そのほうが 防御に繋がると思いますよ。

なので Win７は2年弱だけど
何１０回じゃきかないかも知れないくらいOS入れなおししてますよｗ
ドライバ等 インストール順序も考えて Netに繋がないで 完成状態を作り
その状態で バックアップ取っておけば いつでも クリーンに復元できる。
そもそも OSを3ヶ月以上 使うことはないです。
目に見ない 何かが ありそうなら 復元かけるし。

なので スキャンしても 何もでないか 知ってるものしか 検出されません。
それでも 見えない脅威ってのは あるハズで それを 知りたいし。
Netに繋ぐ以上は トラウマ並みに ピリピリするところは あります。

最近はブラウザでFlashが多いから Flash自体も 自動実行は絶対しません。
再生するところだけ 許可すればいい。
これだけでも けっこうな防御になると 思いますよ。

この回答へのお礼

>寿命の間に ほぼ無い ことに労力使うより

確かにおっしゃることは分かります。

ただ各サイトにID・パスワードでログインするときに、
BIOS感染ウイルスによって もしかしたら　そのID・パスワードが盗み取られ
外部に送信されるのではないかという危惧が頭をよぎり、ログインの度に精神的に疲れます。

リカバリーしても、BIOS感染ウイルスには対処できない、という事実が気を重くさせています。

お礼日時：2013/02/27 15:10

No.5 回答者： nekobox 回答日時： 2013/02/24 20:56

ゼロフィルなんてやる必要ないですね。

せいぜいコールドイメイージによるシステムバックアップ。


>カスペルスキーのセーフブラザを使用しているなら
ホームページを見るだけでBIOSを書き換えられるということは起こらないのでしょうか？


ないですね。キーロガ、スティラー系マルウェア動かした状態で情報盗み取れるか実験してみましたが無理でした。

この回答へのお礼

カスペルスキーのセーフブラウザを使用している場合には
BIOS書き換えのウイルスが仕掛けられたホームページにアクセスしてもBIOSが書き換えられることはないのですね。

ありがとうございます。

お礼日時：2013/02/25 13:37

No.3 回答者： nekobox 回答日時： 2013/02/24 16:56

あのね、先のやつは理解できなくてもいいです。

要はBIOS感染ウイルスなんて気にしなくていいよということです。


はるかに手間隙イージーにいける手法があるので。

この回答へのお礼

定期的にゼロフィル・リカバリーをやっているので残る問題はBIOSの書き換えだけです。

>要はBIOS感染ウイルスなんて気にしなくていいよということです。

確かに大丈夫なのでしょうが、性格的なせいか、どうも気になります。


ところで、カスペルスキーのセーフブラザを使用しているなら
ホームページを見るだけでBIOSを書き換えられるということは起こらないのでしょうか？

お礼日時：2013/02/24 19:54

No.2 回答者： nekobox 回答日時： 2013/02/24 01:03

はいどうぞ

http://blog.webroot.co.jp/2011/11/22/mebromi-%E5 …


あの、俺はいろんなクラッカーコミュとかマルウェア関連コミュニティーしょっちゅう見て歩いてるけど、最近はBIOSマルウェアのスレッドなんておよそ見ていません。

普通にDriive by Downloadとか使ったほうがぜんぜん効率的。たとえば、カーネルモードRootkit、MBR Rootkitを送り込む。


なので、そういったタイプはまず気にしなくていいです。

この回答へのお礼

リンクを張っていただいたページを拝見致しましたが、私の知識では難しく感じました。

1

==================================================================
bios.sys ドライバーは BIOS の感染を操るコードです。BIOS コードを読み取るには、物理メモリ アドレス 0xF0000 にある物理メモリをマップする必要があります。通常、BIOS ROM はここに常駐しています。BIOS コードを読み取ったら、ドライバーは、ストリング $@AWDFLA の存在をチェックして、BIOS ROM が Award BIOS であるかどうかを確認します。このストリングが見つかると、次に SMI ポートを探します。ルートキットはこのポートを使用して BIOS ROM をフラッシュします。
==================================================================

BIOS ROMはマザーボード上にあると思いますが、物理メモリアドレス上にBIOSのデータが常駐していても、BIOSのデータがメモリから読み取れるだけで、マザーボード上のBIOS ROMとメモリは物理的に離れているのでマザーボード上のBIOS ROMには書き込めないように感じます。

SMI ポート　というのが、マザーボード上のBIOS ROMに直接アクセスし書き込むことを可能にするのでしょうか？


2

私の先入観としては、winodws起動後のユーザーアカウントからマザーボード上のBIOS ROMに直接書き込むことは不可能だと思っていました。

ただBIOSアップデートの実行ファイルが
http://downloads.dell.com/Pages/Drivers/latitude …

のように普通に配布されています。

winodws起動後のユーザーアカウントからマザーボード上のBIOS ROMに直接書き込むことは簡単なことなのでしょうか？


3

======================================================================
BIOS ベースのルートキットは、世の中の主要なすべての BIOS ROM との完全な互換性が必要です。また、Award、Phoenix、AMI の各 BIOS のさまざまなリリースすべてに感染可能であることも必要です。これは、持続性に優れた感染ウイルス (TDL ルートキット、各種の Rustock リリース、ZeroAccess ルートキットなど) を作成するには必要のない複雑さのレベルです。
======================================================================

winodws起動後のユーザーアカウントからマザーボード上のBIOS ROMに直接書き込むことは簡単だとしても、
各BIOSメーカーのバージョン毎にウイルスを作成する必要があり、ウイルス作成側としては面倒に感じるため、BIOS感染の被害は少ないのでしょうか？

お礼日時：2013/02/24 16:20

No.1 回答者： te2kun 回答日時： 2013/02/24 00:12

１．BIOSを破壊して、起動出来なくする可能性もあります

2．非常に少ないです。無視してもよいかもしれません
3．PCが起動出来なくなる可能性あり　駆除してもすぐにウイルスに感染する可能性あり
ウイルスですから、リモート操作を付け加えることも理論的には可能です
4．BIOSの変更でウイルスが駆除出来ればいいかもしれませんが、場合によっては、メーカー修理か買い換え以外では対処出来ない場合もあります

http://ascii.jp/elem/000/000/649/649041/index-2. …

この回答へのお礼

>１．BIOSを破壊して、起動出来なくする可能性もあります

BIOSの各設定項目以外の分野に関しても書き込むことができるのですね。

お礼日時：2013/02/24 15:53