Linuxベースのノートパソコン、PC、サーバーのベンダーであるSystem76は、同じくLinuxノートパソコンメーカーのPurism、そしてGoogleとNSAに続き、Intel Management Engine(ME)ファームウェアの無効化に着手しました。このファームウェアには最近、複数の脆弱性が含まれていることが発覚しました。Intel MEは一般向けノートパソコンにほとんどメリットをもたらしませんが、Intelは2008年以降、すべてのチップにMEを統合してきました。
Intel ME の脆弱性
ユーザーレベルのOSの下に独自のプロセッサとOSを搭載したIntel MEは、プライバシー活動家から長らくセキュリティリスクとみなされてきました。こうした考えにつながった理由の一つは、MEがバックドアを内包する可能性があることです。MEは本質的にブラックボックスであり、OSレベルのセキュリティ保護を制御・回避できるため、ユーザーがアクセスできないという点も懸念されました。
MEの無効化に取り組んできたロシアのセキュリティ企業Positive Technologiesを通じて、NSAだけが文書化されていないHigh Assurance Platform(HAP)モードを使ってMEを無効化できたことが最近になって判明しました。この文書化されていないモードは、Google、Purism、System76でもMEの無効化に利用できるようになりました。
プライバシー活動家が Intel ME に疑念を抱く 2 つ目の理由は、他のシステムと同様に ME にもバグが含まれ、攻撃者が Intel ベースのマシンにリモート アクセスできるようになる可能性があるためです。
この説は今年既に2度実証されており、Intelは最終的にMEに複数の脆弱性が存在することを認めざるを得ませんでした。同社はノートパソコンメーカーとマザーボードメーカーに修正プログラムを提供し、ユーザー向けには検出ツールも提供しました。コンピューターメーカーは最終的なパッチをユーザーに提供し、ユーザーはそれらのアップデートをダウンロードしてインストールする必要があります。そうでなければ、ユーザーのシステムは、現在公開され、すべてのマルウェア開発者に完全に知られているバグに対して依然として脆弱なままです。
システム76はMEを無効にする
System76は既に、顧客のデバイスへの自動ファームウェアパッチ配信に取り組んでおり、これは最近のオペレーティングシステムの自動アップデート配信方法に似ています。同社は、この自動ファームウェアパッチ配信システムを利用して、Intel第6世代CPU以降のCPUを搭載したすべての顧客のマシンに、MEを無効化した更新ファームウェアを配信すると発表しました。
System76は、MEはコンシューマー向け機器に必要な機能を提供していないため、無効にしても安全であると顧客を安心させた。同社は、Intelが将来的にコンシューマー向け機器でMEを無効化できないようにMEに変更を加える可能性があると警告したが、Intelがそのような変更を行わないことを期待している。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
