「マルウェア、Intel CPUの機能を使ってファイアウォールを避けつつデータを窃取」

www.bleepingcomputer.com

マイクロソフトのセキュリティチームが、「PLATINUM」グループ（少なくとも2009年以降に活動中）によるマルウェアの挙動を解析し、Intel CPUの一部にだけ搭載された機能を使っていることを突き止めました。

この機能はIntel AMT SOLというもの。略さず書くと、Intel Active Management Technology Serial-over-LANというものです。これはIntel ME(Management Engine)の一部で、大企業などのネットワーク内で管理者の利便性を考慮して作られた機能。

Intel MEはCPUが電源オフの時でも動作します。そしてSOLはLANを経由してTCP上でのシリアル通信ができるというもの。管理者が端末をリモート管理するための機能です。ちなみにIntel MEはメインのCPUとは独立で動作するため、通常OSからは見えません。

なお、AMT SOLはデフォルトが非動作なため、おそらくほとんどの個人ユーザには関係ありません。

PLATINUMのマルウェアは、この機能を悪用して、PC内部のデータを外に送っているそうです。なお、この機能が「ONなら悪用する」なのか「秘密裏に起動する手段をもっている」のかは不明とのこと。

この機能が大きな組織でしか使われないことや、これを経由するというのは（情報の窃取という意味では）非常に洗練されていることなどからみて、PLATINUMは国家の裏打ちのある組織である可能性が高いとみられます。

マイクロソフトでは、AMT SOL機能を起動する、またはアクセスする時に警告することで、この件は検出可能と述べています。