Microsoft、PCを乗っ取り秘密裏に操る「BlackLotus」ブートキットへの対策を順次展開

同社のセキュリティガイダンス

　米Microsoftは5月9日（現地時間）、「BlackLotus」ブートキットによる「Secure Boot」バイパスの脆弱性（CVE-2022-21894）に対処するためのセキュリティガイダンスを公開した。

　「BlackLotus」は、ハッキングフォーラムで販売されているUEFIブートキット。UEFIのセキュリティ機能「Secure Boot」をバイパスし、OSの起動プロセスを完全に乗っ取ることが可能で、「BitLocker」や「Windows Defender」などのOSセキュリティ機能も解除できてしまう。ユーザーに存在を知られることなく非常に高い権限で動作する上、簡単に削除されないようにさまざまな細工を自ら施す点も厄介だ。

　Microsoftはnで「CVE-2022-21894」への対策を実施済みだが、修正を完全に適用させるには、ブートマネージャーの取り消しが必要となる。しかし、この処理は一部のデバイスのブート構成で問題を引き起こすことが懸念されている。とはいえ、問題を放置すれば「BlackLotus」の暗躍を許すことにつながりかねない。

　そこで、2023年5月のセキュリティ更新プログラムにはこの問題に対処するWindowsブートマネージャーの取り消しが含まれている（CVE-2023-24932）。既存環境への影響を避けるため既定では無効化されているが、同社はこの保護機能を3段階に分けて展開する考えだ。現在のところ、展開は以下のスケジュールで実施される予定。

• 2023年5月9日：「CVE-2023-24932」に対する初期修正プログラムがリリース。保護を機能させるにはユーザー側のアクションが必要
• 2023年7月11日：2回目のリリースで保護の展開を簡略化するためのアップデートオプションを追加
• 2024年第1四半期：最終リリースで「CVE-2023-24932」の修正をデフォルトで有効に。ブートマネージャーの失効が強制される

　なお、デバイスで「Secure Boot」が無効になっている場合は、脆弱性の影響はうけない。「Secure Boot」が有効かどうかは、「msinfo32」コマンドで確認可能。「コマンド プロンプト」や［ファイル名を指定して実行］ダイアログなどから実行すればよい。

「msinfo32」コマンド