ホームページ » の仕方 » PCのUEFIファームウェアにセキュリティアップデートが必要な理由

    PCのUEFIファームウェアにセキュリティアップデートが必要な理由

    MicrosoftはProject Muを発表したばかりで、サポートされているハードウェアで「サービスとしてのファームウェア」を約束しています。すべてのPC製造元が注意を払う必要があります。 PCはUEFIファームウェアのセキュリティアップデートを必要としており、PCメーカーはそれらを提供するという貧弱な仕事をしてきました.

    UEFIファームウェアとは?

    最近のPCは、従来のBIOSの代わりにUEFIファームウェアを使用しています。 UEFIファームウェアは、PCを起動したときに起動する低レベルのソフトウェアです。ハードウェアをテストして初期化し、低レベルのシステム設定を行い、その後コンピュータの内蔵ドライブまたは別の起動デバイスからオペレーティングシステムを起動します。.

    しかし、UEFIは古いBIOSソフトウェアよりも少し複雑です。たとえば、Intelプロセッサを搭載したコンピュータには、Intel Management Engineと呼ばれるものがあります。これは基本的に小さなオペレーティングシステムです。それはWindows、Linux、またはあなたがあなたのコンピュータで走っているどんなオペレーティングシステムとも並行して動く。企業ネットワークでは、システム管理者はIntel MEの機能を使用して自分のコンピュータをリモートで管理できます。.

    UEFIには、プロセッサ用のファームウェアのようなものであるプロセッサ「マイクロコード」も含まれています。コンピュータが起動すると、UEFIファームウェアからマイクロコードをロードします。ソフトウェア命令をCPU上で実行されるハードウェア命令に変換するインタプリタのようなものだと考えてください.

    UEFIファームウェアにセキュリティアップデートが必要な理由

    UEFIファームウェアがタイムリーなセキュリティアップデートを必要とする理由をここ数年で繰り返し示しています.

    2018年に私たち全員がスペクターについて学び、現代のCPUの深刻なアーキテクチャ上の問題を示しました。 「投機的実行」と呼ばれる問題があると、プログラムは標準のセキュリティ制限を回避し、メモリの安全な領域を読み取ることができます。 Spectreの修正では、正しく機能するためにCPUマイクロコードの更新が必要でした。つまり、PCメーカーはすべてのラップトップおよびデスクトップPCをアップデートしなければならず、マザーボードメーカーはすべてのマザーボードをアップデートされたマイクロコードを含む新しいUEFIファームウェアでアップデートする必要がありました。 UEFIファームウェアアップデートをインストールしていない限り、お使いのPCはSpectreから適切に保護されていません。 AMDはまた、AMDプロセッサを搭載したシステムをSpecter攻撃から保護するためのマイクロコードアップデートもリリースした。これは単なるIntelの問題ではない.

    IntelのManagement Engineは、コンピュータにローカルにアクセスする攻撃者にManagement Engineソフトウェアをクラックさせる、またはリモートアクセスを行う攻撃者に問題を引き起こすことを可能にするいくつかのセキュリティバグを見ました。幸いなことに、リモートエクスプロイトは、インテルアクティブマネジメントテクノロジ(AMT)を有効にしていた企業にのみ影響を与えたため、平均的な消費者は影響を受けませんでした。.

    これらはほんの数例です。研究者たちはまた、いくつかのPCでUEFIファームウェアを悪用し、システムへの深いアクセスを得るためにそれを使用することが可能であることを示しました。彼らは、コンピュータのUEFIファームウェアにアクセスし、そこから実行される永続的なランサムウェアさえ示しています。.

    業界は他のソフトウェアと同様にすべてのコンピュータのUEFIファームウェアをアップデートして、将来的にこれらの問題や同様の欠陥から保護するのを助けるべきです.

    更新プロセスが長年にわたってどのように破られてきたか

    BIOSの更新プロセスは、UEFIよりずっと前からずっと厄介でした。伝統的に、コンピュータはその古い学校のBIOSを同梱していましたが、それほど問題になることはありませんでした。 PC製造元は、小さな問題を修正するためにいくつかのBIOSアップデートを出荷するかもしれませんが、通常のアドバイスはあなたのPCが正常に動作しているならそれらをインストールしないことです。あなたはしばしばBIOSアップデートをフラッシュするために起動可能なDOSドライブから起動しなければなりませんでした、そして誰もがBIOSアップデートが失敗して、PCを壊して、それらを起動不可能にするという話を聞きました.

    世の中変わったんだよ。 UEFIファームウェアはもっと多くのことをします、そして、Intelは過去数年の間にCPUマイクロコードとIntel MEのようなものにいくつかの大きなアップデートをリリースしました。 Intelがそのようなアップデートをリリースするときはいつでも、Intelは「あなたのコンピュータ製造元に尋ねる」と言うことができるだけです。あなた自身のPCを製造したならあなたのコンピュータ製造元またはマザーボード製造元はバージョン。それから彼らはファームウェアをテストしなければなりません。ああ、そしてそれぞれの製造元は、それぞれが異なるUEFIファームウェアを持っているので、販売する個々のPCごとにこのプロセスを繰り返さなければなりません。これは、Android携帯を過去に更新するのが難しかった一種の手作業です.

    実際には、これは、UEFIを介して配信する必要がある重要なセキュリティ更新プログラムを入手するのに長い時間、何ヶ月もかかることが多いことを意味します。それは製造業者がほんの数年前のPCをすくめて更新することを拒否するかもしれないことを意味します。そして、製造業者がアップデートをリリースするときでさえ、それらのアップデートはしばしばその製造業者のサポートウェブサイトに埋められます。ほとんどのPCユーザーは、UEFIファームウェアのアップデートが存在することを発見してインストールすることは決してありません。そのため、これらのバグは長い間既存のPCに存在することになります。そして一部の製造業者はまだあなたがそれを特別に複雑にするために最初にDOSからブートすることによってファームウェアアップデートをインストールするようにします.

    人々はそれについて何をしているのか

    それは混乱です。製造元が新しいUEFIファームウェアアップデートをより簡単に作成できる、合理化されたプロセスが必要です。また、これらのアップデートをリリースするためのより良いプロセスも必要です。そうすれば、ユーザーは自動的にそれらのアップデートを自分のPCにインストールすることができます。今のところプロセスは遅くて手動です - それは速くて自動であるべきです.

    それが、MicrosoftがProject Muに対してやろうとしていることです。公式文書で説明されているとおりです。

    Muは、UEFI製品の出荷と保守は多数のパートナー間で継続的に行われているコラボレーションであるという考えに基づいています。長い間、業界はコピー/貼り付け/名前の変更と組み合わせた「分岐」モデルを使用して製品を構築してきました。メンテナンスの負担は、コストとリスクのために更新がほぼ不可能になるレベルまで増大します。.

    Project Muは、UEFI開発プロセスを合理化し、全員が協力して作業できるようにすることで、PCメーカーがUEFIの更新をより迅速に作成およびテストできるように支援することを目的としています。 MicrosoftはすでにPCメーカーがUEFIファームウェアのアップデートをユーザーに自動的に送信することをより簡単にしているので、これが欠けている部分であることを願います。.

    具体的には、MicrosoftはPC製造業者にWindows Updateを通してファームウェアアップデートを発行させ、少なくとも2017年以来これに関する文書を提供してきた。MicrosoftはまたComponent Firmware Updateを発表した。 2018年10月に、製造元がUEFIや​​その他のファームウェアを更新するために使用できるオープンソースモデル。PC製造元がこれに参加すれば、ファームウェアの更新をすべてのユーザーに非常に迅速に提供できます。.

    これもWindowsの問題ではありません。 Linux上では、開発者はPCメーカーがLVFS(Linux Vendor Firmware Service)を使ってUEFIアップデートを発行しやすくすることを目指しています。 PCベンダは彼らのアップデートを提出することができ、それらはUbuntuや他の多くのLinuxディストリビューションで使われているGNOMEソフトウェアアプリケーションにダウンロードのために現れるでしょう。この取り組みは2015年までさかのぼります。DellやLenovoなどのPCメーカーが参加しています.

    WindowsとLinux用のこれらのソリューションは、UEFIアップデートだけではありません。ハードウェアメーカーは、将来それらを使用して、USBマウスファームウェアからソリッドステートドライブファームウェアまですべてをアップデートする可能性があります。.

    SwiftOnSecurityがソリッドステートドライブのファームウェアと暗号化に関する問題について話すときそれを言うので、ファームウェアの更新は信頼できます。私達はハードウェア製造業者からよりよく期待する必要があります.

    ファームウェアのアップデートは信頼できるものです。私はたった1回の失敗で少なくとも3,000のDell BIOSアップデートを始めました、そして、その古いPCは失敗のためにすでに稼働中でした.

    あなたが不可能だと思うことを再考してください。ファームウェアの修理は不可能でも危険でもありません。それは人々がより良い要求を要求する.

    - SwiftOnSecurity(@SwiftOnSecurity)2018年11月6日

    イメージクレジット:Intel、Natascha Eibl、kubais / Shutterstock.com.