Microsoftは、独自のAIツール「Security Copilot」を用い、GRUB2、U-Boot、Bareboxの3種のオープンソースブートローダーに未発見だった脆弱性を20件発見した。特にGRUB2では暗号処理やファイルシステム解析に関連する11件が報告されている。

中でも、SquashFSの整数オーバーフローに起因する脆弱性(CVE-2025-0678)はCVSS 7.8と高い深刻度に分類される。これらは物理アクセスを前提とするものが多いが、過去の事例を踏まえるとリモート攻撃の足掛かりとなる可能性も否定できない。

Microsoftは、Security Copilotによって手作業では1週間かかる分析を短縮し、加えて緩和策の提示も可能と説明している。2025年2月には各プロジェクトがセキュリティアップデートを公開しており、速やかな適用が望まれる。

GRUB2を中心に浮上した脆弱性とセキュアブート突破のリスク

MicrosoftがSecurity Copilotを活用して発見した20件の脆弱性のうち、GRUB2に集中する11件はその性質と影響範囲において際立っている。特にHFSやReiserFS、UFSといった複数のファイルシステムを対象とするバッファオーバーフローや整数オーバーフローが確認され、暗号処理における実装ミスも見られた。CVE-2024-56738では、比較関数が定数時間で動作せず、サイドチャネル攻撃の可能性を示唆している。

注目すべきは、GRUB2がUEFIセキュアブートの信頼チェーンの一角を担っている点である。セキュアブートのバイパスが可能となれば、BitLockerやWindows Defenderなどのセキュリティ機構が無力化される事態にもつながりかねない。Microsoftは、BlackLotusのようなブートキットを例に挙げ、これらの脆弱性が攻撃チェーンの入り口になり得ると警告する。

もっとも、脆弱性の大半はローカルアクセスを前提としたものであり、即座に大規模なリモート攻撃に直結する構造にはない。しかし、端末へのマルウェア感染を起点とした権限昇格の経路として組み込まれた場合、セキュリティの境界は容易に破られる。その意味で、物理アクセスの制限だけでは対策として不十分である。

AIの支援が変えるOSSの脆弱性対応とSecurity Copilotの実効性

Security Copilotは、大規模なコードベースに潜む未知の脆弱性を迅速に洗い出し、従来型の解析手法と比較して調査に要する時間を約1週間短縮したという。GRUB2のように、複数のファイルシステムや暗号処理を内包する複雑な設計を持つOSSでは、人力による網羅的な検証は非現実的であり、AIによる自動解析が現実的な解決手段となりつつある。

また、Security Copilotは脆弱性の特定だけでなく、対象を絞った緩和策の提案にも対応している点が大きい。開発の主体が少人数のボランティアや一部の有志に依存するオープンソースプロジェクトでは、脆弱性の修正とパッチ公開が後手に回りやすい。AIによる示唆が即座に実装につながる可能性は高く、脆弱性の常態化を未然に防ぐ効果が期待される。

ただし、AIが示す分析結果が常に正確である保証はなく、最終的な判断と実装は人間の責任に委ねられるべきである。ツールの精度と再現性の継続的な検証を前提としなければ、誤検知や過剰防御による別の脆弱性を生む恐れもある。AIは万能ではないが、脆弱性管理の局面を支える新たなインフラとしての地位を固めつつあるのは確かである。

Source:BleepingComputer