編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

インテルの「Management Engine」は無効化が可能--セキュリティ企業が発見

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2017-08-30 13:31

 米政府機関など一部の顧客はIntelに対して、通常は常に有効になっている「Management Engine」(ME)の機能を無効化するよう依頼できることが明らかになった。

 一般にはこの選択肢は利用できないが、ロシアのセキュリティ企業Positive Technologiesは、一部の政府機関が利用できる、MEを無効にする手段を利用する方法を発見したと述べている。

 MEは最近のIntel製プロセッサに内蔵されているコアコンポーネントの1つで、攻撃者がバックドアとして利用できる可能性があると指摘されている。Positive Technologiesの研究者らが述べている通り、MEはハードウェアの初期化、電力管理、メインプロセッサの起動などの役割を担っているため、完全に無効にすることはできない。

 セキュリティ分野の研究者は、MEの特性上、バックドアの有無を監視できるのがIntelだけであることを危惧しており、「me_cleaner」プロジェクトをはじめとして、この機能を無効にする試みがいくつも進められている。

 Positive Technologiesの研究者であるMark Ermolov氏とMaxim Goryachy氏は、MEのファームウェアのコードに見つかった「HAP mode activation bit」(HAPモード有効化ビット)をオンにすることで、この機能を無効にできることを発見したという。研究者らは、MEのファームウェアのファイル中に、「reserve_hap」と呼ばれるフィールドを発見し、そのフィールドには「High Assurance Platform(HAP) enable」というコメントが付されていた。

 このHAPとは、米国家安全保障局(NSA)がテクノロジ業界と協力して進めている、安全なコンピューティングプラットフォームを開発するためのプログラム「High Assurance Platform」を指している。Bleeping Computerの記事によれば、このreserve_hapビットを「1」に設定することで、MEが無効化されるという。

 IntelはPositive Technologiesに対して、一般に情報が公開されていないHAPモード有効化ビットは、HAPプログラムに参加している顧客に対応するためのものだと認めた。

 同社は、「特殊な要件を持つ顧客からの依頼に対応するため、特定の機能の修正や無効化を検討する場合がある」と述べている。

 「今回の場合、修正は機器メーカーからの依頼により、機器メーカーの顧客が実施する米国政府のHigh Assurance Platformプログラムの評価を支援するために行われた。これらの修正は限定的な検証サイクルで使用されたもので、公式にサポートされている構成ではない」(Intelの担当者)

 Ermolov氏とGoryachy氏は、HAPモードはサイドチャネル攻撃による情報漏えいの可能性を減らすために設計されたものだと推測している

 同氏らはGitHub上で、Intelの支援なしでMEを無効化するためのユーティリティを公開した。ただし、実行するとデバイスが破壊される可能性があると警告している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]