ソフトウェアセキュリティ企業Binarlyは2023年、Acer、Dell、Gigabyte、Intel、Supermicroのデバイスでセキュアブートが侵害されていることを発見しました。これらのモデルを保護する暗号鍵は2022年後半にGitHubの公開リポジトリで漏洩しました。この鍵をダウンロードした人は誰でも、セキュアブートが提供する保護を回避できる可能性があります。
2022年のリークに加え、Ars Technicaは、300以上のモデルで「DO NOT SHIP(発送不可)」または「DO NOT TRUST(信頼不可)」と記された21個のプラットフォームキーが使用されていたと報告しました。これらの21個のキーは、American Megatrends, Inc.(AMI)がマザーボードメーカーにUEFIファームウェアのカスタマイズ用テストキーとして提供したもので、AMIと提携していたほぼすべてのメーカーがこれらのキーのコピーを保有していたことを意味します。これは、数百人、あるいは数千人の関係者にしか知られていない、公然の業界秘密です。
Binarlyの創設者兼CEOであるアレックス・マトロソフ氏は、「アパートに住む全員が同じ玄関の鍵を持っていると想像してみてください。誰かが鍵を紛失すれば、建物全体に影響が及ぶ可能性があります。しかし、さらに事態が悪化し、他の建物でも同じ鍵と鍵が使われていたらどうでしょうか?」と述べています。さらに、「鍵が漏洩すれば、エコシステム全体に影響が及びます。影響を受けるのは単一のデバイスだけではありません」と付け加えています。
- 暗号化マテリアルの管理が不十分で、ビルド スクリプトからのハードコードされたパスを使用して秘密キーがコード リポジトリに直接表示されます。
- 実稼働ファームウェアおよびデバイスのプラットフォーム セキュリティを担当する非実稼働暗号化キーの使用。
- 製品ラインごとにプラットフォームセキュリティ暗号鍵のローテーションは行われていません。例えば、クライアント関連製品とサーバー関連製品で同一の暗号鍵が確認されました。Intel Boot Guardのリファレンスコードキーの漏洩でも同様の挙動が検出されました。同じOEMが、異なるデバイスメーカー向けに製造されたファームウェアに、同一のプラットフォームセキュリティ関連暗号鍵を使用していました。Intel Boot Guardのリファレンスコードキーの漏洩でも同様の挙動が検出されました。
残念ながら、影響を受けた場合でも、個々のユーザーがこれを修正することはできません。ボードメーカーがBIOSアップデートをリリースしない限り、この脆弱性のあるデバイスを修正することはできません。
「私の結論は、『確かに、メーカーは相変わらずセキュアブートを台無しにしている。今回は鍵管理のずさんさが原因だ』ということですが、私の世界観が変わったわけではありません(セキュアブートは多くの場合、見せかけのセキュリティ対策に過ぎません)。」と、ファームウェアセキュリティの専門家でrunZeroのCEOを務めるHD氏は語る。「UEFIのサプライチェーン全体が混乱状態にあり、2016年からほとんど改善されていないというのが現状です。」
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ジョウィ・モラレスは、長年のテクノロジー業界での実務経験を持つテクノロジー愛好家です。2021年から複数のテクノロジー系出版物に寄稿しており、特にテクノロジー系ハードウェアとコンシューマーエレクトロニクスに興味を持っています。
