ロシアのセキュリティ企業Positive Technologies(PT)は、ここ数年にわたりIntelのマネジメントエンジン(ME)に複数のバグを発見してきましたが、今週、MEの「製造モード」に関する詳細情報を公開し、このモードがユーザーをリモートハッキングの危険にさらす可能性があると述べています。これは、PTが近年発見したIntel MEの未公開モードとしては2つ目となります。
Intel ME 製造モード
PTによると、Intelのプロセッサに搭載されている製造モードは、製造工程におけるチップの設定とテストを目的としています。このモードは、ソフトウェアのデバッグモードが出荷前に無効化されるのと同じ理由で、出荷前に無効化される予定です。つまり、ハッカーが容易にアクセスできないようにするためです。
しかしPTは、Intel MEの製造モードが最終製品で無効化されていない場合、一般ユーザーはそれを自然に知ることができない(ドキュメント化されていないため)ため、また、それを可能にするツールが公式に提供されていないため、無効化できないと述べています。そのため、通常はUEFIファームウェアレベルでプロセッサ構成エラーを通知できるChipsecを含む現在のソフトウェアは、製造モードが無効化されているかどうかを判断できません。
製造モードは何をしますか?
製造モードでは、BootGuard(Intelチップに搭載されているブートプロセスを検証する技術)などの重要なプラットフォーム設定を行うことができます。これらの設定は、ワンタイムプログラマブルメモリ(FUSE)に保存され、その一部はフィールドプログラマブルヒューズ(FPF)と呼ばれます。
FPFは通常、プラットフォームパラメータの保存に使用されます。FPFを設定するには、IntelのMEを製造モードにする必要があります。この2段階のプロセスの一環として、FPFはまず一時メモリに保存され、製造モードの終了時に「焼き付けられ」ます。システムが製造モードのままである場合、プロセスが完了していないため、FPFは初期化されていないことを意味します。
製造元が何らかの理由で自社製品に設定する必要がある FPF の設定を忘れ、製造モードが有効なままになっている場合、攻撃者が独自の FPF を設定し、プラットフォームを制御できる可能性があります。
例えば、攻撃者はBootGuardなどのセキュリティ機能に独自の値を設定することができます。すると、ユーザーがマルウェア対策としてどのような対策を講じても、Intelプラットフォームには攻撃者の悪意あるコードが自動的に読み込まれてしまいます。PTによると、攻撃者の悪意あるコードは削除不可能とのことです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
どの Intel プロセッサーが危険にさらされているのでしょうか?
PTは、Apollo Lake、Gemini Lake、Cannon Pointなど、製造モードが有効になっている新しいIntelプラットフォームでは、攻撃者が検証済みのブートプロセスを制御できるだけでなく、マシン上のあらゆる種類のファームウェアに署名するために使用されるOEMのルートキーを盗むこともできるため、ユーザーをさらに大きなリスクにさらしていると述べた。
PTによると、これまでIntel MEはCPUとMEに独立したアクセス権を持つ別のSPIフラッシュメモリ領域に配置されていたため、CPU(メインシステム)側からMEを読み書きすることは不可能だったという。
しかし、Intelは最新プラットフォーム向けに「マスターグラント」と呼ばれる新しいメカニズムを導入することで、この仕様を変更しました。マスターは特定のSPI領域を制御できるだけでなく、自身の領域への他のマスターのアクセスも許可できます。つまり、CPUが通常はアクセスできないME領域へのアクセスを許可することが可能になります。
PT は、Intel がこの機能を導入したのは ME をより直接的に更新しやすくするためだと考えていますが、これによって CPU を制御する攻撃者がプラットフォームの下位レベルにアクセスしやすくなる可能性も考えられます。
Appleのノートパソコンの脆弱性
PTは、Appleのノートパソコンが製造モードが有効になった状態で出荷されていることを発見しました。PTがこの欠陥をAppleに報告した後、AppleはmacOS High Sierraアップデート10.13.5でこの問題を修正しました。
セキュリティ会社は、Lenovo Yoga および ThinkPad ラップトップで製造モードの問題を発見しませんでした。
Intelの非公開モード
PTはまた、IntelがHigh Assurance Platform(HAP)と呼ばれる、NSA向けに開発された文書化されていない別のモードを保有していたことを明らかにした最初のセキュリティ企業でもあります。NSAは、すべてのコンシューマー向けおよびエンタープライズ向けプロセッサに搭載されているIntel MEの潜在的な脆弱性を遮断するために、このHAPを必要としていたとされています。しかし、コンシューマー向けマシンではIntel MEは利用されていないにもかかわらず、他のほとんどのIntel顧客はこの恩恵を受けることができませんでした。
Intel MEは、プライバシー活動家から長年にわたり、潜在的なバックドア、あるいは少なくとも将来的に攻撃者が制御できる重大なセキュリティの抜け穴として批判されてきました。そのため、IntelがNSA向けにMEに特別な非公開モードを組み込んでいたことが発覚しても、そうした懸念は完全に払拭されず、むしろその逆となりました。
それ以来、攻撃者がリモートからマシンを乗っ取る可能性のあるMEの脆弱性がさらに明らかになりました。そして今、Intelが攻撃者がCPUにアクセスできる可能性のある別のモードを一般公開していないことが判明しました。
Intelは今年初め、MeltdownとSpectreの脆弱性が明らかになった後、セキュリティを最優先にすると約束しました。以前も述べたように、Intelが実際にこれらのセキュリティに関する約束を守るかどうかはまだ分かりません。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
