ギガバイトマザーボードに隠れたマルウェア脅威が発覚

セキュリティ研究者は、数百のギガバイトマザーボードのファームウェアに4つの重大な脆弱性を発見しました。これにより、攻撃者はオペレーティングシステムの再インストールを生き延び、従来のセキュリティツールを回避するマルウェアを静かにインストールすることが可能になります。

この4つの高危険度の脆弱性は、ファームウェアセキュリティ会社Binarlyの研究者によって発見され、カーネギーメロン大学のCERTコーディネーションセンター（CERT/CC）と協力して問題を公表しました。これらの欠陥は、低レベルのシステム操作を処理するために設計されたCPUの超特権部分である統一拡張ファームウェアインターフェース（UEFI）ファームウェアのシステム管理モード（SMM）に影響を与えます。

これらのバグを悪用することで、管理者アクセスを持つ攻撃者は保護されたメモリに書き込むことができ、オペレーティングシステムが再インストールされたりハードドライブが交換されたりしてもアクティブなままの隠れた「ブートキット」を可能にします。

240以上のマザーボードモデルが影響を受ける

Binarlyによると、消費者、ゲーミング、スモールビジネスクラスのボードを含む240以上のギガバイトマザーボードモデルが影響を受けています。これらの多くは、H110、B150、X150/X170などの古いインテルチップセットを使用しています。

4つの脆弱性は、それぞれCVSSで8.2の重大度スコアが付けられており（「高」と分類）、システム管理割り込み（SMI）ハンドラーの欠陥に起因しています。これらのバグにより、システム管理RAM（SMRAM）への不正アクセスが可能になり、攻撃者が特権を昇格させ、持続的なマルウェアをインストールすることができる可能性があります。

影響を受ける脆弱性は以下の通りです：

CVE-2025-7029：ソフトウェアSMIハンドラー（SwSmiInputValue 0xB2）の欠陥で、攻撃者がRBXレジスタを操作できるようにします。これは、電力および熱構成に使用される重要な構造（OcHeader、OcData）を指します。これにより、SMRAMへの任意の書き込みが可能になり、SMM特権の昇格を引き起こす可能性があります。

CVE?2025?7028：SwSmiInputValue 0x20ハンドラーの欠陥で、攻撃者がRBX/RCXを介して任意のポインタをフラッシュ管理関数（ReadFlash、WriteFlash、EraseFlash、GetFlashInfo）に渡すことができ、SMRAMへの任意の読み書きアクセスを可能にします。これにより、持続的なファームウェアインプラントを含む完全なSMMレベルの侵害が可能になります。

CVE?2025?7027：ソフトウェアSMIハンドラー（SwSmiInputValue 0xB2）の脆弱性で、ローカル攻撃者が未検証のポインタを悪用してメモリ書き込みのターゲットと内容を制御できるようにします。これには、UEFI NVRAM変数からのものとRBXレジスタからのものが含まれます。これにより、SMRAMへの任意の書き込みが可能になり、SMM特権の昇格やファームウェアの侵害につながる可能性があります。

CVE?2025?7026：ソフトウェアSMIハンドラーの脆弱性で、ローカル攻撃者がRBXレジスタをSMIフラッシュルーチンに向けることができ、SMM特権の昇格や長期的なファームウェアの侵害を可能にします。

これはどのように発生したのか？

ファームウェアコードの元の供給者は、世界中で最も広く使用されているファームウェアプロバイダーの1つであるアメリカンメガトレンド社（AMI）です。しかし、ファームウェアはギガバイトによってカスタマイズされ、統合されています。

CERT/CCによると、AMIは同じ脆弱なコードを上流で静かにパッチし、厳格な非開示契約の下でOEM顧客に通知していました。しかし、ギガバイトはこれらの修正を見逃したか、統合に失敗し、ギガバイトの下流ビルドに再導入してしまったようです。

AMIは以前に問題を静かにパッチし、OEM顧客に厳格な非開示契約の下で通知しました。しかし、ギガバイトはこれらの修正を自社のファームウェアリリースに統合するのを見逃したか、失敗したようです。

CERT/CCは、4月中旬にギガバイトに脆弱性について通知し、同社は6月にこれを確認しました。

あなたは何をすべきか？

ギガバイトは、欠陥に対処するためにサポートウェブサイトを通じてBIOSアップデートのリリースを開始しました。影響を受けたユーザーには、以下のことを強くお勧めします：

ギガバイトのサポートページであなたのマザーボードモデルを確認し、最新のファームウェアアップデートが利用可能かどうかを確認してください。

アップデートを迅速にインストールしてください。特に、管理者権限を持つユーザーによってローカルまたはリモートでアクセスされる可能性のあるシステムでは、迅速に行うことが重要です。リスクがないと思っていても、パッチを適用することでこれらの潜在的な攻撃を防ぐことができます。

他のOEMからのアップデートに注意を払ってください。AMIファームウェアは、さまざまなハードウェアメーカーで広く使用されています。