NSAが開発した隠し機能でIntel MEを無効化する動きがPCメーカーに広がる

　11月、Googleの研究者がユーザーの知らないところで動作するIntel Management Engine(ME)の潜在的な脆弱性の問題を指摘してから、Intelが再度MEのセキュリティ評価をしたところ、8件の脆弱性が明らかとなったわけだが、一部PCメーカーではそのME無効化しようとする動きが広がっている。

　本誌でもこれまでMEの潜在的な脆弱性の問題を紹介しているが、MEはユーザーランドやOS、ハイパーバイザーOSよりも高い権限で動作しているため、その動作は不可視だ。仮にMEに脆弱性が存在し、それを悪用された場合、ユーザーは攻撃されていることを知る由もないまま攻撃に晒される状態下に置かれる。

　ちなみに、8件のMEの脆弱性をIntelに報告したのは、セキュリティ調査会社のPositive Technologiesで、Linux搭載PCを開発/製造するSystem76によると、Positive Technologiesは研究のなかで、MEを無効化する手法を見出したという。

　それが、Intelのドキュメントでは公開されていない「High Assurance Platform(HAP)」設定だ。HAPはアメリカ国家安全保障局(NSA)によってセキュアコンピューティングのために開発されたものだとしており、“reserve_hap”のビットを1にすることでMEを無効化できるという。

　System76では、今回のMEの脆弱性の問題を受ける第6世代/第7世代/第8世代Coreプロセッサ搭載ノートPCの全製品について、このMEを無効化することで対処するという。一方デスクトップPCについては、脆弱性に対処したMEファームウェアのアップデートを行なう。

　一方で、セキュリティ保護に特化したノートPC「Librem 13」、「Librem 15」を製造する米Purismも、10月の時点でMEの無効化を決めている。同社のCTOを務めるZlatan Todoric氏は、「我々のラップトップは市場にあるIntelベースのノートPCのなかでももっともセキュアであるが、MEの無効化によってその位置づけを確固たるものにする」と述べている。