Intel MEおよびIntel TXEに脆弱性が見つかりましたが、修正はドライバーではなくBIOSのアップデートで行われています。
既に昨年末から各パソコンメーカーから対策済みのBIOSが提供されています。
BIOSアップデート
コンピューターというものはプログラムが無いと動作しません。パソコンにはWindowsなどのOSをインストールできるように基本部分のプログラムとしてBIOSが搭載されています。最近はUEFIまたはEFIとも呼ばれます。
このBIOSが壊れてしまうとパソコンは動作しなくなってしまいます。
高いパソコンではBIOSを2つ搭載して片方が壊れてもバックアップ側で起動するなど保護対策が施されています。
しかし、通常はそこまでの対策はされていませんので、問題が発生していなければBIOSのアップデートは行わない方が無難です。
Intel ME、TXEの脆弱性の問題
しかし、2017年11月に報告されたIntel ME(Management Engine)、Intel TXE(Trusted Execution Engine)の脆弱性は非常に危険なものであるためBIOSのアップデートはできるだけ行う必要があります。
どのように危険かはこちらの記事で説明されています。
- Google、ユーザーの知らないところで動くUEFIの脆弱性に警鐘(PC Watch)
引用すると、
UEFI(Unified Extensible Firmware Interface)ファームウェアは、大雑把に言ってしまえばPCの根幹を司るローレベルなOSだ。このローレベルなOSでは、IPスタックやファイルシステム、ドライバ、Webサーバー、自分のパスワードといった、セキュリティの問題上自由にアクセスされては困るものが動いており、そのためx86プロセッサ上では、ユーザーランド(Ring 3)、OS(Ring 0)、そしてXenといったハイパーバイザーOS(Ring -1)の特権レベルを超える、“Ring -2”と“Ring -3”上で動作している。UEFIの動きをユーザーが知るよしもなく、その開発もプロプライエタリのクローズドソースで行なわれている。
ところが近年、UEFIをハッキングする手法が確立されつつあり、脆弱性が発見されUEFIが悪意のあるものに書き換わってしまうと、ユーザーはそれを知る術がないまま、事実上、永久的に攻撃された状態下に置かれてしまう。
とりわけ致命的なのがRing -3で動作しているIntel Management Engine。Intel Management Engineはすべてのネットワークの管理機能を有しているほか、PC全体の管理機能も司っている。たとえPCの電源がオフの状態でも動作しているので、ここを乗っ取ってしまえば攻撃者の思うがままになるわけだ。
危険とは言ってもウイルス対策ソフトをインストールしているので問題無いと思われるかもしれません。しかし、Windowsより高い権限で動作しているIntel MEやIntel TXEに対してウイルス対策ソフトでは防御することはできません。
そして、これを受けてIntelが調査したところ脆弱性が見つかったとのことです。
- Intel Management Engineなどに8個の脆弱性が発見(PC Watch)
記事では、
- 第6世代/第7世代/第8世代Coreプロセッサー・ファミリー
- Xeonプロセッサー E3-1200 v5/v6ファミリー
- Xeonプロセッサー スケーラブル ファミリー
- Xeonプロセッサー Wファミリー
- Atom C3000プロセッサー ファミリー
- Apollo LakeのAtom E3900シリーズ
- Apollo LakeのPentium
- Celeron N/Jシリーズ
が対象とのことですが、実際にはこれ以外にも対象となるCPUはあります。
Intel NUCのNUC6CAYHはApollo LakeのCeleron J3455ですが対象となっています。
まずは、パソコンメーカーのサポート情報の確認を
Intel ME、Intel TXEの脆弱性は非常に危険なため、対象となるパソコンはできるだけ早く対策を行う必要があります。
Surfaceの場合はMicrosoft製ということもありWindows Updateで配信されていますので、通常は自動でインストールされます。
その他のメーカーのパソコンは各社のアップデートプログラムやサポートページでBIOSまたはUEFIのアップデートが無いか確認してください。
自作パソコンの場合はマザーボードメーカーのサポートページを確認してみてください。
例えばGIGABYTEのGA-Z170X-UD5 THというマザーボードでは、2017/12/1にF22dというバージョンで対応されています。
まとめ
BIOSのアップデートは問題が無ければ行う必要はありませんが今回は特別です。
パソコンメーカーのサポート情報を確認して早急にアップデートするようにしてください。
コメント
同じくGA-Z170X-UD5 THです。
F21からF22eにアップデートしました。
なんか、RAIDを有効にする方法が変わったみたいな…
睡眠薬を飲んだ後に寝る前にやったのでよく覚えていませんが、これまでになかったようなポップアップが何度も出た記憶があります。
寝る前に何かやるとトラブルになる事はよくあります。
普通だとWIN8/10を選んでCSMを無効にして、再起動、そのあとRapid Storage TechnologyでAHCIからRAIDに変更するだけだったはずですが、ダウングレードして再現したくなる衝動に駆られます。
DUAL BIOSで良かったみたいな結果になるかもしれませんが…
設定のマイグレーションとか考えられていませんからね。
旧バージョンで保存した設定は新バージョンで読み込めなくしてありますから…
コメントを頂きありがとうございます。
GA-Z170X-UD5 THは、もう2世代も前の製品なので、アップデート時に新しい製品に合わせていろいろと変えているのかもしれません。
眠い時に作業をすると間違えてしまうことが多いですね。結局、目が覚めている時にやった方が間違えない分早く終わります。
GA-Z170X-UD5 THにはIce Lakeが出るまでは頑張ってもらうつもりです。