Intel Management Engine、説明:CPU内の小さなコンピューター
Intel Management Engineは、2008年からIntelチップセットに搭載されています。これは基本的に、PCのメモリ、ディスプレイ、ネットワーク、および入力デバイスに完全にアクセスできる、コンピュータ内の小さなコンピュータです。Intelによって書かれたコードを実行し、Intelはその内部の仕組みについて多くの情報を共有していません。
このソフトウェアは、Intel MEとも呼ばれ、2017年11月20日にIntelが発表したセキュリティホールのためにニュースに登場しました。脆弱な場合は、システムにパッチを適用する必要があります。このソフトウェアの深いシステムアクセスとIntelプロセッサを搭載したすべての最新システムでの存在は、攻撃者にとってジューシーなターゲットであることを意味します。
Intel MEとは何ですか?
では、とにかく、インテル管理エンジンとは何ですか?Intelはいくつかの一般的な情報を提供しますが、Intel ManagementEngineが実行する特定のタスクのほとんどとその動作を正確に説明することは避けています。
Intelが言うように、管理エンジンは「小型で低電力のコンピュータサブシステム」です。「システムのスリープ中、ブートプロセス中、およびシステムの実行中にさまざまなタスクを実行します」。
つまり、これは分離されたチップ上で実行されているが、PCのハードウェアにアクセスできる並列オペレーティングシステムです。コンピュータがスリープしているとき、起動しているとき、およびオペレーティングシステムが実行されているときに実行されます。システムメモリ、ディスプレイのコンテンツ、キーボード入力、さらにはネットワークなど、システムハードウェアへのフルアクセスが可能です。
これで、Intel ManagementEngineがMINIXオペレーティングシステムを実行していることがわかりました。それを超えて、Intel ManagementEngine内で実行される正確なソフトウェアは不明です。それは小さなブラックボックスであり、Intelだけが中身を正確に知っています。
Intel Active Management Technology(AMT)とは何ですか?
さまざまな低レベルの機能の他に、インテルマネジメントエンジンにはインテルアクティブマネジメントテクノロジーが含まれています。AMTは、Intelプロセッサを搭載したサーバー、デスクトップ、ラップトップ、およびタブレット向けのリモート管理ソリューションです。これは、ホームユーザーではなく、大規模な組織を対象としています。デフォルトでは有効になっていないため、一部の人が呼んでいるように、実際には「バックドア」ではありません。
AMTを使用して、Intelプロセッサを搭載したコンピュータの電源をリモートでオン、構成、制御、またはワイプできます。通常の管理ソリューションとは異なり、これはコンピューターがオペレーティングシステムを実行していない場合でも機能します。IntelAMTはIntelManagement Engineの一部として実行されるため、組織はWindowsオペレーティングシステムが機能していなくてもシステムをリモートで管理できます。
2017年5月、Intelは、攻撃者が必要なパスワードを提供せずにコンピューター上のAMTにアクセスできるようにするAMTのリモートエクスプロイトを発表しました。ただし、これはIntel AMTを有効にするために邪魔になった人々にのみ影響します。これも、ほとんどのホームユーザーではありません。AMTを使用した組織だけが、この問題を心配し、コンピューターのファームウェアを更新する必要がありました。
この機能はPC専用です。IntelCPUを搭載した最新のMacにもIntelMEが搭載されていますが、IntelAMTは搭載されていません。
無効にできますか?
IntelMEを無効にすることはできません。システムのBIOSでIntelAMT機能を無効にしても、IntelMEコプロセッサーとソフトウェアはアクティブで実行されたままです。この時点で、Intel CPUを搭載したすべてのシステムに含まれており、Intelはそれを無効にする方法を提供していません。
IntelはIntelMEを無効にする方法を提供していませんが、他の人々はそれを無効にすることを試みました。ただし、スイッチをフリックするほど簡単ではありません。進取の気性に富んだハッカーは、かなりの努力でIntel MEを無効にすることに成功し、Purismは、Intel Management Engineがデフォルトで無効になっているラップトップ(古いIntelハードウェアに基づく)を提供するようになりました。Intelはこれらの取り組みに満足していない可能性が高く、将来的にIntelMEを無効にすることはさらに困難になります。
しかし、平均的なユーザーにとって、Intel MEを無効にすることは基本的に不可能であり、それは仕様によるものです。
なぜ秘密?
Intelは、競合他社にManagementEngineソフトウェアの正確な動作を知られたくないと考えています。Intelはまた、ここで「隠すことによるセキュリティ」を採用しているようで、攻撃者がIntelMEソフトウェアの穴を見つけて見つけるのをより困難にしようとしています。ただし、最近のセキュリティホールが示しているように、隠すことによるセキュリティは保証された解決策ではありません。
組織がAMTを有効にして、それを使用して自分のPCを監視している場合を除き、これはスパイや監視ソフトウェアのようなものではありません。Intelの管理エンジンが他の状況でネットワークに接続していた場合、人々がネットワーク上のトラフィックを監視できるWiresharkのようなツールのおかげでそれを聞いたことがあるでしょう。
ただし、無効にできず、クローズドソースであるIntel MEのようなソフトウェアの存在は、確かにセキュリティ上の懸念事項です。これは攻撃のもう1つの手段であり、IntelMEにはすでにセキュリティホールがあります。
お使いのコンピューターのIntelMEは脆弱ですか?
2017年11月20日、Intelは、サードパーティのセキュリティ研究者によって発見されたIntelMEの重大なセキュリティホールを発表しました。これには、ローカルアクセスを持つ攻撃者がフルシステムアクセスでコードを実行できるようにする欠陥と、リモートアクセスを持つ攻撃者がフルシステムアクセスでコードを実行できるようにするリモート攻撃の両方が含まれます。彼らが悪用するのがどれほど難しいかは不明です。
Intelは、ダウンロードして実行できる検出ツールを提供し、コンピューターのIntel MEが脆弱であるかどうか、または修正されているかどうかを確認します。
このツールを使用するには、Windows用のZIPファイルをダウンロードして開き、「DiscoveryTool.GUI」フォルダーをダブルクリックします。「Intel-SA-00086-GUI.exe」ファイルをダブルクリックして実行します。UACプロンプトに同意すると、PCが脆弱かどうかが通知されます。
関連:UEFIとは何ですか?BIOSとはどのように異なりますか?
PCが脆弱な場合は、コンピューターのUEFIファームウェアを更新することによってのみIntelMEを更新できます。コンピューターの製造元からこの更新プログラムを提供する必要があるため、製造元のWebサイトのサポートセクションをチェックして、利用可能なUEFIまたはBIOSの更新プログラムがあるかどうかを確認してください。
Intelは、さまざまなPCメーカーが提供するアップデートに関する情報へのリンクを含むサポートページも提供しており、メーカーがサポート情報をリリースするたびにアップデートを続けています。
AMDシステムには、専用のARMプロセッサで実行されるAMDTrustZoneという名前の類似したものがあります。
画像クレジット:LauraHouser。
