MENU
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
あなたの好奇心を刺激する、テック・サイエンスニュース情報が満載! | TEXAL
TEXAL
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
  • テクノロジー
  • サイエンス
  • モバイル
  • エンタメ
  • ゲーム
TEXAL
  • TECHテクノロジー
  • SCIENCEサイエンス
  • ENTERTAINMENTエンターテインメント
  • REVIEWSレビュー
  1. ホーム
  2. テクノロジー
  3. MSI、数百のマザーボードで誤ってセキュアブートを解除してしまう

MSI、数百のマザーボードで誤ってセキュアブートを解除してしまう

2023 1/17
テクノロジー
2023年1月17日

スポンサーリンク

ポーランドのセキュリティ研究者であるDawid Potocki氏によって、290台以上のMSIマザーボードが、デフォルトでのUEFIセキュアブート設定が安全でないものになっており、署名が間違っているか欠けているにも関わらず、あらゆるOSイメージを実行できるようになった事が報告されている。同氏は、MSIに連絡してこの問題について知らせようとしたが、MSIからの回答はなかったようだ。

Potocki氏によると、この問題は、最近のファームウェアバージョンを使用している多くのIntelおよびAMDベースのMSIマザーボードに影響を与え、新品のMSIマザーボードモデルにも影響を与えるとのことだ。

UEFIセキュアブートとは?

セキュアブートとは、UEFIマザーボードのファームウェアに組み込まれたセキュリティ機能で、PC起動時に信頼できる(署名された)ソフトウェアだけが実行できるようにするものだ。

Microsoftによる説明は以下の通りとなっている。

セキュアブート対応PCでは、PC起動時に、ファームウェアがUEFIファームウェアドライバ(オプションROMとも呼ばれる)、EFIアプリケーション、OSなどの各ブートソフトウェアの署名をチェックします。

署名が有効であれば、PCは起動し、ファームウェアはOSに制御を委ねるようになっています。

なぜこのような仕組みがあるかというと、それは、PCの起動時に悪意のあるソフトウェアが読み込まれないためだ。UEFIブートキット/ルートキット(1、2、3)がコンピュータ上で起動するのを防ぎ、ベンダーがシステムを出荷した後に、オペレーティングシステムが改ざんされていることをユーザーに警告するために設計されている。

ブートローダーやOSカーネルなど、システムに不可欠なコンポーネントの安全性を検証するため、セキュアブートは起動のたびに、ソフトウェアを認証するPKI(公開鍵基盤)をチェックし、その有効性を判断しているのだ。

もし、ソフトウェアが署名されていなかったり、署名が変更されたりしていた場合、コンピュータに保存されているデータを保護するために、セキュアブートによってブートプロセスが停止されることで、コンピュータを保護する。

さて、この前提に立って今回の問題を見てみよう。

MSIのデフォルト設定が安全でないブートを引き起こす

Potocki氏は、2022年1月18日にリリースされたMSIのファームウェアアップデート版「7C02v3C」が、MSIマザーボードのデフォルトのセキュアブート設定を変更し、「セキュリティ侵害を検知してもシステムが起動してしまうようになった」と述べている。つまり、セキュアブートが意味をなさないのだ。

「sbctlの助けを借りて、新しいデスクトップにセキュアブートを設定することにしました。残念ながら、私のファームウェアは、それが信頼できるかどうかに関係なく、私が与えたすべてのOSイメージを受け入れていたことがわかりました」と、Potocki氏は説明する。

この変更は、ファームウェアの「イメージ実行ポリシー」設定が、デフォルトで「常に実行」になっており、どんなイメージでも通常通りデバイスを起動できるようにしてしまうようになっていることから引き起こされている。

firmware1
firmware0
デフォルト設定が変更されている (Source: dawidpotocki.com)

上の画像からわかるように、セキュアブートが有効になっていても、「イメージ実行ポリシー」の設定が「常に実行」になっており、セキュリティ違反があってもシステムが起動できるようになってしまっているのだ。通常、ここは「実行拒否」になっているはずであり、この設定はあり得ないのだ。

つまり、信頼できないイメージを使用してもデバイスを起動できてしまうため、事実上セキュアブート機能を無効にしていることと同じ状態である。

Potocki氏は、ユーザーは「リムーバブルメディア」と「固定メディア」の実行ポリシーを「実行拒否」に設定し、署名済みのソフトウェアのみを起動できるようにする必要があると説明している。

また、Potocki氏によると、MSIはこのアップデート内容を文書化していなかったため、IFR(UEFI Internal Form Representation)を使って設定オプション情報を抽出し、安全でないデフォルトの導入を追跡する必要があったとのことだ。

Potocki氏は、この情報を使って、この問題の影響を受けるMSI製マザーボードを特定した。この安全でない設定の影響を受ける290台以上のマザーボードの完全なリストは、GitHubで入手できる。

このリストにあるMSIマザーボードを使用している場合は、BIOS設定に移動して、「イメージ実行ポリシー」が安全なオプションに設定されていることを確認しよう。

2022年1月以降、マザーボードのファームウェアをアップグレードしていない場合、ソフトウェアアップデートには重要なセキュリティ修正が含まれているため、行う事も推奨される。

Source

  • Dawid Potocki: MSI’s (in)Secure Boot
  • via Bleeping Computer: MSI accidentally breaks Secure Boot for hundreds of motherboards

TEXALでは、テクノロジー、サイエンス、ゲーム、エンターテインメントなどからその日の話題のニュースや、噂、リーク情報、レビューなど、毎日配信しています。最新のニュースはホームページで確認出来ます。Googleニュース、Twitter、FacebookでTEXALをフォローして、最新情報を入手する事も出来ます。記事の感想や、お問い合わせなども随時受け付けています。よろしくお願いいたします。

スポンサーリンク

テクノロジー
MSI セキュリティ マザーボード
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする コメントをキャンセル

CAPTCHA


スポンサーリンク
今読まれている記事
人気のタグ
AI Amazon AMD Android Apple CPU DJI Google GPU Intel iOS iPadOS iPhone iPhone 14 Pro Mac Meta Microsoft NASA Nintendo Switch NVIDIA PCゲーム PS5 Qualcomm Samsung SNS Sony The Conversation TSMC Twitter VR Windows XR アップデート ガジェット ゲーム サブスクリプション スマートフォン ドローン ベータテスト 乗り物 半導体 噂 天文学 宇宙 自動車
PVアクセスランキング にほんブログ村
スポンサーリンク
  • テクノロジー
  • サイエンス
  • モバイル
  • エンタメ
  • ゲーム