Eclypsiumは5月31日(米国時間)、「Supply Chain Risk from Gigabyte App Center Backdoor - Eclypsium|Supply Chain Security for the Modern Enterprise」において、GIGABYTEのマザーボードにバックドアのような疑わしい機能が動作しているとして、注意を喚起した。GIGABYTEのマザーボードに、Windowsネイティブの実行ファイルをシステムの起動プロセス中にドロップし、ペイロードをダウンロードして実行する可能性のある機能が埋め込まれていることが明らかとなった。
-
Supply Chain Risk from Gigabyte App Center Backdoor - Eclypsium|Supply Chain Security for the Modern Enterprise
セキュリティ専門家により特定されたこの機能は、Computrace(別名LoJack DoubleAgent)や、Sednit LoJax、MosaicRegressor、Vector-EDKなどのファームウェアインプラントなど、脅威者が悪用する他のOEMバックドアに類似した攻撃手法とされている。
Eclypsiumが調査を行った結果、攻撃者に悪用される危険性のある疑わしい機能がGIGABYTEのマザーボードの数百のモデルに存在することがわかった。影響を受けるとされるすべてのモデルはリストにされ、公開されている。完全なリストは次より入手できる。
GIGABYTE製マザーボードを使用しているユーザーや組織に対し、注意が呼びかけられている。影響を受けるとされる対象デバイスのシステムおよびファームウェアの更新をスキャンおよび監視すること、最新のファームウェアおよびソフトウェアにアップデートすること、GIGABYTEのUEFI/BIOSセットアップの「APP Center Download & Install」機能を無効化にするなど、リスクを最小限に抑えるための対策を実施することが推奨されている。
