テレワーク増加で急増するサイバー攻撃。サーバーのファームウェアも標的に

コロナ禍に乗じてサイバー攻撃は増加の一途

新型コロナウイルス感染症により、世界中が未曽有の大混乱となりました。そんな中、感染に対する人々の恐怖や不安に漬け込んだサイバー攻撃が増えています。トレンドマイクロの調査で2020 年1～3月と4～6月を比較したところ「新型コロナウイルス関連の不正サイトへの誘導数」は約14.6倍に、「マルウェアの検出台数 」は約6.9倍に、「確認した脅威の総数」は約8倍以上になっています。

2020年1月～6月：COVID-19関連の脅威検出件数の推移（全世界）
出典：トレンドマイクロ「2020年 上半期セキュリティラウンドアップ」

日本国内の例でいいますと、2020年3月にマスク販売を語る不審なサイトが発見されました。マスク購入の際に個人情報とクレジットカード情報を搾取するフィッシングサイトとみられています。さらにこのサイトのURLを案内する不審メールが約450通検出されました。タイトルに受信者の名前が埋め込まれていたことから、2段階で個人情報を搾取して攻撃しようとしたことが分かります。

また海外では「新型コロナウイルス最新情報」というメールが送信され 、送信元は「Ministry of Health（厚生省 ）」を 偽装していました。メールに添付された資料をクリックするとマルウェアに感染するという手口でした。

ファームウェア改ざんという新たなサイバー攻撃の脅威

このような事案はOSやアプリケーションを使ったものであり、比較的古くから使われてきました。最近ではそれに加えてファームウェア改ざんにより企業のサーバーを狙うサイバー脅威も増加しています。

ファームウェアはコンピューターや制御機器に内蔵されており、ハードウェアを制御します。本体の電源を入れなくても簡単な機材で改ざんが可能です。ハードウェアのスイッチを入れるとOSが起動する前にBIOSなどのファームウェアが起動するため、ファームウェアに潜むウイルスを検知しにくくなります。今まではOSかそれより上の層で攻撃を受けていたため、その下の層となるファームウェアへの攻撃はいわばセキュリティ対策の盲点といえます。

ファームウェアは、マザーボードのチップにケーブルをつなぎ、持ち込んだ端末からBIOSを書き換えることで攻撃できます。稼働中のハードウェアでこの手口を適用するのは難しいのですが、設置前のサーバーであれば簡単にできるかもしれません。

サーバーは企業のシステム基盤として重要な情報を扱い、業務で使用しているため、サーバーが攻撃され停止したり、重要な情報を盗まれるようなインシデントが 起きたりすると企業活動に大きな支障をきたします。最新のサーバーではファームウェア改ざんへの対策がなされた機種もあります。次章ではその技術を紹介します。

iLO 5により改ざんを検知・自動復旧できるHPE ProLiantサーバー

HPE ProLiant Gen10サーバーは、こうしたファームウェアの改ざんを検知し、自動で復旧できる仕組みを持っています。それがHPE独自開発チップである「iLO 5」（Integrated Lights-Out）です。

iLO 5は、CPUやメモリーといったコンピューターリソースとは独立した専用ASIC（特定用途向けの集積回路）としてHPE ProLiant Gen10サーバーに組み込まれます。ネットワークポートとしても独立しており、本体の電源が入っていなくてもアクセスが可能です。改変不可能なiLO 5に安全性検証ロジックとして「Silicon Root of Trust（シリコンレベルの信頼性）」を埋め込んであり、iLO 5を起点としてその後に読み込まれるファームウェア群の信頼性を定期的に検証します。そして改ざんがあった場合は、自動検知して対象のファームウェアを安全に自動復旧します。

一般的な他社サーバーのファームウェア検証プロセスの場合、起動時にBIOS以上のファームウェアを検証します。そのためBIOSよりも低い層のマザーボードのコントローラーやファームウェアが攻撃されると、マザーボードの交換が必要になってしまいます。HPE ProLiant Gen10サーバーの場合は、BIOSよりも低い層を検証できるようになっており、起動時だけでなく定期的に検証し、自動的に復旧できるため、事実上攻撃が不可能な仕組みとなっています。

HPEサーバーのリモート管理機能により情報システム部門もテレワークが可能に

情報システム部門の仕事は、IT戦略の立案から運用保守、社内ヘルプデスクまで多岐にわたります。 デジタルトランスフォーメーション（DX）やサイバー攻撃からの防御など、経営においてITの重要性が高まる中、情報システム部門の責任はますます重くなり、大きな負担となっています。

それに加えて新型コロナウイルスの影響でテレワークが全社的に推進され、情報システム部門の働き方を変える必要性に迫られています。

iLO 5は、日々のシステム管理作業を効率化できる機能を提供しています。WebブラウザーやStandalone Remote Consoleツールで遠隔からアクセスして操作することができるため、サーバー管理作業について効率化できるほか、遠隔でのサーバーメンテナンスが可能となり、運用管理者がテレワークをすることも可能となります。

デジタル時代のサーバーに求められるセキュリティと可用性

サイバー攻撃が日々高度化・巧妙化しており、企業もセキュリティ対策を強化し多層防御を行う必要に迫られています。またITの重要性が高まるなか、基幹業務システム等の重要なシステムにおいては今まで以上に高い可用性が求められています。

これからは「データセンターの中は安全である」という前提をなくし、あらゆる要素を信頼しない「ゼロトラスト」の考え方が必要となります。そしてハードウェアもゼロトラストの一部として考えなければなりません。ファームウェアを改ざんされてしまうと、簡単にシステム停止ができるほか、復旧のためにマザーボードの交換が必要になります。サーバーを停止せざるをえず可用性は著しく低下してしまいます。

こうしたリスクを解消するべく、HPE ProLiant Gen10サーバーはiLO 5を提供しています。iLO 5が使用可能なライセンスは、以下の通りです。

iLO 5を活用することで、改ざんされた場合でも確実に自動復旧し、サーバーを長時間停止するリスクを回避します。HPE ProLiant Gen10サーバーは、デジタル時代に求められるゼロトラストセキュリティと高可用性を実現する基盤として企業を支えます。