マイクロソフトは、対応するハードウェア上で「ファームウェア・アズ・ア・サービス」を約束するMuプロジェクトを発表しました。すべてのPC**ベンダーが注目すべきです。PCはUEFIファームウェアのセキュリティアップデートが必要ですが、PC**ベンダーはこれらのアップデートを提供するのに不十分な作業を行っています。

uefiファームウェアは何ですか？

最近のPCは、従来のBIOSではなく、UEFIファームウェアを採用しています。 UEFIファームウェアは、コンピュータを起動する際に起動する低レベルのソフトウェアです。ハードウェアのテストと初期化、低レベルのシステム設定、そしてコンピュータの内蔵ドライブやその他の起動デバイスからオペレーティングシステムを起動させます。

しかし、UEFIは旧来のBIOSソフトに比べると少し複雑です。例えば、インテル・プロセッサーを搭載したコンピューターには「インテル・マネジメント・エンジン」というものがあり、これは基本的にミニ・オペレーティング・システムである。WindowsやLinuxなど、お使いのコンピュータで動作しているOSと並行して実行されます。企業ネットワーク上では、システム管理者はインテルMEの機能を利用して、コンピュータをリモートで管理することができます。

UEFIには、プロセッサの「マイクロコード」も含まれており、これはプロセッサのファームウェアのようなものです。コンピュータが起動すると、UEFIファームウェアからマイクロコードが読み込まれます。ソフトウェアの命令を、CPUで実行されるハードウェアの命令に翻訳するインタープリターと考えればよいでしょう。

関連：UEFIとは何ですか、BIOSとどう違うのですか？

uefiファームウェアにセキュリティアップデートが必要な理由

UEFIファームウェアのタイムリーなセキュリティアップデートの必要性は、過去数年の間に何度も証明されています。

2018年、私たちは皆、ゴーストについて学び、現代のCPUの深刻なアーキテクチャ上の問題を示しました。いわゆる「投機的実行」問題とは、プログラムが標準的なセキュリティの制限を破って、メモリの安全な領域を読み出すことができることを意味します。ゴーストの修正に必要なCPUのマイクロコード更新が正常に機能する。つまり、PC**ベンダーはすべてのノートパソコンとデスクトップを、マザーボード**ベンダーはすべてのマザーボードを、更新されたマイクロコードを含む新しいUEFIファームウェアに更新しなければならないのです。UEFIファームウェアのアップデートをインストールしない限り、コンピュータはファントム攻撃から十分に保護されません。 AMDも、AMDプロセッサを搭載したシステムをファントム攻撃から保護するマイクロコードのアップデートをリリースしており、インテルだけの問題とは言えません。

インテルのマネジメント・エンジンは、ローカルコンピュータにアクセスした攻撃者がマネジメント・エンジンのソフトウェアをクラックしたり、リモートアクセスした攻撃者がトラブルを引き起こす可能性のあるセキュリティ脆弱性が多数開発されています。幸い、これらの遠隔攻撃は、インテルのアクティブ・マネジメント・テクノロジー（AMT）を有効にしている企業のみが被害を受けたため、一般消費者は影響を受けませんでした。

これらはほんの一例です。また、特定のPCに搭載されているUEFIファームウェアを悪用して、システムへのディープアクセスが可能であることも実証されました。さらに、コンピュータのUEFIファームウェアにアクセスし、そこから実行できる持続的なランサムウェアのデモも行いました。

業界は、他のソフトウェアと同様に、すべてのコンピュータのUEFIファームウェアをアップデートし、これらと同様の欠陥が今後発生しないようにする必要があります。

関連：お使いのPCや**がメルトダウンやゴーストから保護されているかどうかを確認する方法

リニューアルの過程でどのように中断されてきたか

BIOSのアップデート作業は、UEFIが登場するずっと以前から、混乱が続いていました。従来、コンピュータには旧式のBIOSが搭載されており、不具合が発生することはほとんどありませんでした。PCのベンダーがマイナーな問題を修正するためにBIOSアップデートを提供することがありますが、通常、コンピュータが正常に動作している場合は、インストールしないことをお勧めします。BIOSアップデートを更新するためには、起動可能なDOSドライブから起動しなければならないことが多く、BIOSアップデートに失敗してPCが詰まり、起動不能になったという話は誰でも聞いたことがあるはずです。

UEFI ファームウェアはより多くのことを行うようになり、Intel はここ数年の間に CPU マイクロコードや Intel ME などいくつかのメジャーアップデートをリリースしています。Intelがこのようなアップデートをリリースするたびに、Intelができることは "お使いのコンピュータ**ベンダにお尋ねください "と言うことだけです。コンピュータを自作する場合は、コンピュータ**メーカーやマザーボード**メーカーがインテルのコードを受け取り、新しいUEFIファームウェアのバージョンに統合する必要があります。そして、ファームウェアのテストもしなければならない。そして、各メーカーは、販売するすべてのPCに対して、このプロセスを繰り返さなければなりません。この手作業が、これまでのAndroid**のアップデートを困難にしてきたのです。

実際には、UEFI経由で配信しなければならない重要なセキュリティアップデートを入手するのに長い時間、あるいは数ヶ月かかることが多いということです。つまり、数年しか経っていないPCの更新を、**ベンダーが肩身の狭い思いをして拒否する可能性があるのです。また、**ベンダーがアップデートをリリースしても、大抵は**ベンダーのサポートサイトに隠されています。ほとんどのPCユーザーは、これらのUEFIファームウェアのアップデートの存在に気付いてインストールすることはないでしょうから、これらの脆弱性は既存のPCに長期に渡って存在することになります。一部の**ベンダーでは、より複雑にするために、最初の場所でDOSにブートすることによって、ファームウェアの更新をインストールするようにまだします。

人々が行ってきたこと

なんということでしょう。私たちは、**ベンダ**がより簡単に新しいUEFIファームウェアのアップデートを作成できるよう、簡素化されたプロセスを必要としています。また、これらのアップデートをユーザーのコンピューターに自動的にインストールできるような、より良いリリースプロセスも必要です。今はこのプロセスが遅く、手動で行われていますが、高速で自動化されるべきです。

これは、まさにマイクロソフトがMuプロジェクトでやろうとしていることであり、公式文書でも説明されている。

Muは、UEFI製品の出荷と維持は、多数のパートナーとの継続的な協力関係であるという考えに基づいて構築されています。長い間、業界ではコピー＆ペーストやリネームを組み合わせた「分岐」モデルで製品を作り、新製品が出るたびにメンテナンスの負担が大きくなり、コストとリスクのために更新が不可能に近い状態になってきました。

Muプロジェクトは、UEFI開発プロセスを簡素化し、全員が協力することで、PC**ベンダーのUEFIアップデートの作成とテストの迅速化を支援することを目的としています。Microsoftは、PC**ベンダーがUEFIファームウェアの更新を自動的にユーザーに送信することを容易にしたので、これがミッシングピースであることを望みます。

具体的には、マイクロソフトはPC**ベンダーがWindows Update経由でファームウェア更新プログラムをリリースすることを認めており、少なくとも2017年からそのためのドキュメントを提供しています。また、マイクロソフトは2018年10月にComponent Firmware Updateを発表しましたが、これはオープンソースモデルで、**ベンダー**がUEFIなどのファームウェアをアップデートするために利用できるものです。PC**ベンダーが同じことをすれば、すぐにでもファームウェアのアップデートをすべてのユーザーに提供できるようになるでしょう。

Windowsに限ったことではありません。Linux では、開発者は PC** ベンダーが Linux Vendor Firmware Service LVFS を使って UEFI の更新を配布することを容易にしようとしています。 PC ベンダーは更新を提出すれば、Ubuntu や他の多くの Linux ディストリビューションで使用されている GNOME ソフトウェアアプリケーションにダウンロードできるように表示されるのです。この取り組みは、2015年にさかのぼります。デルやレノボなどのPC**ベンダーも参加しています。

これらのWindowsとLinuxのソリューションは、UEFIのアップデート以外にも影響を及ぼします。ハードウェアベンダーは今後、USBマウスのファームウェアからソリッドステートドライブのファームウェアまで、あらゆるもののアップデートに利用することができます。

SSDのファームウェアと暗号化に関してはSwiftOnSecurityが言うように、ファームウェアのアップデートは信頼性が高いです。私たちは、ハードウェアベンダー**にもっと良いものを期待する必要があります。

ファームウェアのアップデートは確実に行うことができます。私は少なくとも3,000回のDell BIOSアップデートを実施しましたが、失敗は1回だけでした。

不可能だと思うことをもう一度考えてみる。ファームウェアの整備は、決して不可能なことでも、リスクが高いことでもありません。そのためには、人々がより良いものを求めることが必要です。

- SwiftOnSecurity (@SwiftOnSecurity) 2018年11月6日

画像出典：Intel、Natascha Eibl、kubais/Shutterstock.com ウェブサイト