ESETは9月27日(米国時間)、「LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group」において、UEFIルートキットが初めて実際の攻撃に使われていることが確認されたと伝えた。UEFIルートキットはオペレーティングシステムの再インストールやディスクの交換などを実施しても駆除することが難しいとされており、これまでPoC (Proof of concept, 概念実証)のレベルでは実装が行われていたが、攻撃に使われていたことは発見されていなかった。

記事では、UEFIルートキットはサイバー攻撃において脅威であると指摘している。今回発見されたUEFIルートキットに関する詳細は次のドキュメント(PDF)に詳細にまとまっている。

  • LOJAX - First UEFI rootkit found in the wild、courtesy of the Sednit group - ESET Research Whitepapers // September 2018

    LOJAX - First UEFI rootkit found in the wild, courtesy of the Sednit group - ESET Research Whitepapers // September 2018

今回発見されたUEFIルートキットは正しく署名されていないことから、UEFIのセキュアブート機能を有効にしておけば、起動時に読み込まれるのを回避することができるという。UEFIルートキットを使った攻撃は今後増加する可能性があり、注意が必要。