MSI、数百のマザーボードで誤ってセキュアブートを解除してしまう

masapoco
投稿日
2023年1月17日 11:46
msi wallpaper 1

 本記事は広告およびアフィリエイトプログラムによる収益を得ています。

ポーランドのセキュリティ研究者であるDawid Potocki氏によって、290台以上のMSIマザーボードが、デフォルトでのUEFIセキュアブート設定が安全でないものになっており、署名が間違っているか欠けているにも関わらず、あらゆるOSイメージを実行できるようになった事が報告されている。同氏は、MSIに連絡してこの問題について知らせようとしたが、MSIからの回答はなかったようだ。

Potocki氏によると、この問題は、最近のファームウェアバージョンを使用している多くのIntelおよびAMDベースのMSIマザーボードに影響を与え、新品のMSIマザーボードモデルにも影響を与えるとのことだ。

UEFIセキュアブートとは?

セキュアブートとは、UEFIマザーボードのファームウェアに組み込まれたセキュリティ機能で、PC起動時に信頼できる(署名された)ソフトウェアだけが実行できるようにするものだ。

Microsoftによる説明は以下の通りとなっている。

セキュアブート対応PCでは、PC起動時に、ファームウェアがUEFIファームウェアドライバ(オプションROMとも呼ばれる)、EFIアプリケーション、OSなどの各ブートソフトウェアの署名をチェックします。

署名が有効であれば、PCは起動し、ファームウェアはOSに制御を委ねるようになっています。

なぜこのような仕組みがあるかというと、それは、PCの起動時に悪意のあるソフトウェアが読み込まれないためだ。UEFIブートキット/ルートキット(1、2、3)がコンピュータ上で起動するのを防ぎ、ベンダーがシステムを出荷した後に、オペレーティングシステムが改ざんされていることをユーザーに警告するために設計されている。

ブートローダーやOSカーネルなど、システムに不可欠なコンポーネントの安全性を検証するため、セキュアブートは起動のたびに、ソフトウェアを認証するPKI(公開鍵基盤)をチェックし、その有効性を判断しているのだ。

もし、ソフトウェアが署名されていなかったり、署名が変更されたりしていた場合、コンピュータに保存されているデータを保護するために、セキュアブートによってブートプロセスが停止されることで、コンピュータを保護する。

さて、この前提に立って今回の問題を見てみよう。

MSIのデフォルト設定が安全でないブートを引き起こす

Potocki氏は、2022年1月18日にリリースされたMSIのファームウェアアップデート版「7C02v3C」が、MSIマザーボードのデフォルトのセキュアブート設定を変更し、「セキュリティ侵害を検知してもシステムが起動してしまうようになった」と述べている。つまり、セキュアブートが意味をなさないのだ。

「sbctlの助けを借りて、新しいデスクトップにセキュアブートを設定することにしました。残念ながら、私のファームウェアは、それが信頼できるかどうかに関係なく、私が与えたすべてのOSイメージを受け入れていたことがわかりました」と、Potocki氏は説明する。

この変更は、ファームウェアの「イメージ実行ポリシー」設定が、デフォルトで「常に実行」になっており、どんなイメージでも通常通りデバイスを起動できるようにしてしまうようになっていることから引き起こされている。

firmware1
firmware0
デフォルト設定が変更されている (Source: dawidpotocki.com)

上の画像からわかるように、セキュアブートが有効になっていても、「イメージ実行ポリシー」の設定が「常に実行」になっており、セキュリティ違反があってもシステムが起動できるようになってしまっているのだ。通常、ここは「実行拒否」になっているはずであり、この設定はあり得ないのだ。

つまり、信頼できないイメージを使用してもデバイスを起動できてしまうため、事実上セキュアブート機能を無効にしていることと同じ状態である

Potocki氏は、ユーザーは「リムーバブルメディア」と「固定メディア」の実行ポリシーを「実行拒否」に設定し、署名済みのソフトウェアのみを起動できるようにする必要があると説明している。

また、Potocki氏によると、MSIはこのアップデート内容を文書化していなかったため、IFR(UEFI Internal Form Representation)を使って設定オプション情報を抽出し、安全でないデフォルトの導入を追跡する必要があったとのことだ。

Potocki氏は、この情報を使って、この問題の影響を受けるMSI製マザーボードを特定した。この安全でない設定の影響を受ける290台以上のマザーボードの完全なリストは、GitHubで入手できる

このリストにあるMSIマザーボードを使用している場合は、BIOS設定に移動して、「イメージ実行ポリシー」が安全なオプションに設定されていることを確認しよう

2022年1月以降、マザーボードのファームウェアをアップグレードしていない場合、ソフトウェアアップデートには重要なセキュリティ修正が含まれているため、行う事も推奨される。

Source

, ,

この記事が面白かったら是非シェアをお願いします!

  • microsoft azure logo
    次の記事

    Microsoft、Azure OpenAI Serviceの一般提供を開始 – ChatGPTやDALL-E 2が自社ビジネスで利用可能に

    2023年1月17日 12:09
  • 前の記事

    量子もつれを利用して不確定性原理を「拡張」し、量子測定の精度を向上させる方法が見つかる

    2023年1月17日 11:11
    quantum entanglement
この記事を書いた人
masapoco
TEXAL管理人。中学生の時にWindows95を使っていたくらいの年齢。大学では物理を専攻していたこともあり、物理・宇宙関係の話題が得意だが、テクノロジー関係の話題も大好き。最近は半導体関連に特に興味あり。アニメ・ゲーム・文学も好き。最近の推しは、アニメ『サマータイムレンダ』

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


おすすめ記事

  • gen5 ssd 20240326 1

    MSI、読み込み14.6GB/秒、書き込み12.7GB/秒のPCIe 5.0 SSD「Spatium M580 Frozr」を発表

  • FireShot Capture 061 Search Labs labs.google.com

    GoogleのAI統合検索がマルウェアサイトにユーザーを導いている

  • M2 Mac Pro 1

    Appleの「M1、M2、M3」チップに修正不可能な深刻な脆弱性「GoFetch」が見つかる

  • united nations

    国連がグローバルなAI決議案を全会一致で採択

  • tiktok icon

    ホワイトハウス、米上院のTikTok法案採決に「迅速な動き」を期待すると述べる

今読まれている記事