適用することでWindowsマシンのセキュアブート機能を無効化できるというセキュアブートポリシーが流出し、解析結果が公開されている(Secure Golden Key Boot、 The Registerの記事、 Threatpostの記事、 Ars Technicaの記事)。

セキュアブートはUEFIファームウェアの機能の1つ。有効にするとブート時に実行するソフトウェアの署名が確認され、認証された証明書で署名されていなければ実行できない。セキュアブートポリシーはバイナリ形式のファイルで、Windowsの起動プロセスの非常に初期の段階にbootmgrが読み込む。デバイスの中にはセキュアブートを無効にできないものもあるが、発見したセキュリティ研究者が「golden key」と呼ぶセキュアブートポリシーを読み込ませることでテスト署名を有効化し、セキュアブートをバイパス可能になるという。

golden keyの入手経路は明らかにされていないが、何らかの製品に誤って同梱されていたものとみられる。発見者は3月～4月にgolden keyの存在を確認してMicrosoft Security Response Centerに連絡したが、当初の反応は鈍かったという。しかし、6月～7月に再び返信があり、バグ発見の報奨金プログラムの対象になる。Microsoftでは7月(MS16-094)と8月(MS16-100)に修正プログラムをリリースしているが、影響を受けるポリシーやブートマネージャーをブラックリストに登録するといった内容であり、この方法での完全な修正は難しいと発見者はみているようだ。

セキュアブートポリシーは開発時などに必要なものだが、ブートキットなどのインストールに使われる可能性もある。発見者は政府機関などが要求するようなバックドアの設置が行われ、その鍵が流出した場合の問題を示す実例だと述べている。

一方、Microsoftは、この問題がデスクトップや企業のPCには適用されないと述べ、ARMおよびRTデバイスでも物理的アクセスおよび管理者権限が必要になる点を指摘。暗号化による保護が破られることはないとThreatpostに説明したとのことだ。

やや旧聞になるが、ヒルトンホテルが7月下旬、ポイントプログラム「Hilton HHonors」の会員あてにフィッシングメールにしか見えない文面の電子メールを送信し、HHonorsのITサポート担当までフィッシングメールだと判断する事態になっていたそうだ(Lenny Zeltser氏のブログ記事、 The Registerの記事)。

この電子メールは「重要なメッセージ」のような件名で、冒頭のあいさつは会員のファーストネームのみ。本文は、あなたのアカウント情報が正しいかどうか確認したいので、Hilton HHonorsアカウントにログインして電子メールアドレスや住所、電話番号、受信する電子メールの選択を確認してほしいという内容だ。このほか、アカウントレベルやポイント数が記載されており、「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

このメッセージを受け取った会員が正規のものかどうかHilton HHonorsのTwitterアカウントに質問したところ、HHonorsチームが送ったものではないので、アカウント情報を入力しないように警告されている。米NCRのLenny Zeltser氏はブログ記事で企業から送られた電子メールの良い例と悪い例を挙げ、フィッシングメールそっくりの正規のメールが増えると顧客の判断が鈍るので避けるべきだと述べている。

なお、元記事は正規の電子メールだった前提で書かれているが、そう判断した理由には触れられていない。Twitterでは別のユーザーが電子メールヘッダーのスクリーンショットを投稿し、Hiltonから送られたものかHiltonがハックされたのかどちらかだとコメントしているが、この件に関するHHonorsからの続報は出ていない。