Skylake以降のパソコンはBIOSアップデートを

Intel MEおよびIntel TXEに脆弱性が見つかりましたが、修正はドライバーではなくBIOSのアップデートで行われています。

既に昨年末から各パソコンメーカーから対策済みのBIOSが提供されています。

BIOSアップデート

コンピューターというものはプログラムが無いと動作しません。パソコンにはWindowsなどのOSをインストールできるように基本部分のプログラムとしてBIOSが搭載されています。最近はUEFIまたはEFIとも呼ばれます。

このBIOSが壊れてしまうとパソコンは動作しなくなってしまいます。

高いパソコンではBIOSを2つ搭載して片方が壊れてもバックアップ側で起動するなど保護対策が施されています。

しかし、通常はそこまでの対策はされていませんので、問題が発生していなければBIOSのアップデートは行わない方が無難です。

Intel ME、TXEの脆弱性の問題

しかし、2017年11月に報告されたIntel ME(Management Engine)、Intel TXE(Trusted Execution Engine)の脆弱性は非常に危険なものであるためBIOSのアップデートはできるだけ行う必要があります。

どのように危険かはこちらの記事で説明されています。

Google、ユーザーの知らないところで動くUEFIの脆弱性に警鐘(PC Watch)

引用すると、

UEFI(Unified Extensible Firmware Interface)ファームウェアは、大雑把に言ってしまえばPCの根幹を司るローレベルなOSだ。このローレベルなOSでは、IPスタックやファイルシステム、ドライバ、Webサーバー、自分のパスワードといった、セキュリティの問題上自由にアクセスされては困るものが動いており、そのためx86プロセッサ上では、ユーザーランド(Ring 3)、OS(Ring 0)、そしてXenといったハイパーバイザーOS(Ring -1)の特権レベルを超える、“Ring -2”と“Ring -3”上で動作している。UEFIの動きをユーザーが知るよしもなく、その開発もプロプライエタリのクローズドソースで行なわれている。

ところが近年、UEFIをハッキングする手法が確立されつつあり、脆弱性が発見されUEFIが悪意のあるものに書き換わってしまうと、ユーザーはそれを知る術がないまま、事実上、永久的に攻撃された状態下に置かれてしまう。

とりわけ致命的なのがRing -3で動作しているIntel Management Engine。Intel Management Engineはすべてのネットワークの管理機能を有しているほか、PC全体の管理機能も司っている。たとえPCの電源がオフの状態でも動作しているので、ここを乗っ取ってしまえば攻撃者の思うがままになるわけだ。

危険とは言ってもウイルス対策ソフトをインストールしているので問題無いと思われるかもしれません。しかし、Windowsより高い権限で動作しているIntel MEやIntel TXEに対してウイルス対策ソフトでは防御することはできません。

そして、これを受けてIntelが調査したところ脆弱性が見つかったとのことです。