MSI

2023 年 1 月 22 日更新: MSI が以下の説明に従ってこの設定を意図的に変更したため、タイトルを更新しました。

報告によると、290 を超える MSI マザーボードが安全でないデフォルトの UEFI セキュア ブート設定の影響を受けており、署名が間違っていたり不足していたりしても、オペレーティング システム イメージを実行できます。

この発見は、ポーランドのセキュリティ研究者 Dawid Potocki によるものです。彼は、MSI に連絡して問題について知らせようとしたにもかかわらず、応答がなかったと主張しています。

Potocki 氏によると、この問題は、最新のファームウェア バージョンを使用する多くの Intel および AMD ベースの MSI マザーボードに影響を与え、真新しい MSI マザーボード モデルにも影響を与えるとのことです。

UEFI セキュア ブート

セキュア ブートは、UEFI マザーボードのファームウェアに組み込まれているセキュリティ機能であり、信頼できる (署名された) ソフトウェアのみが起動プロセス中に実行できるようにします。

「PC が起動すると、ファームウェアは、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれます)、EFI アプリケーション、およびオペレーティング システムを含む、ブート ソフトウェアの各部分の署名をチェックします」と Microsoft はセキュア ブートに関する記事で説明しています。

「署名が有効な場合、PC が起動し、ファームウェアがオペレーティング システムに制御を渡します。」

ブート ローダー、OS カーネル、およびその他の重要なシステム コンポーネントの安全性を検証するために、セキュア ブートはソフトウェアを認証する PKI (公開キー インフラストラクチャ) をチェックし、ブートごとにその有効性を判断します。

ソフトウェアが署名されていないか、署名が変更されている場合、おそらく変更されたことが原因で、コンピューターに保存されているデータを保護するために、セキュア ブートによってブート プロセスが停止されます。

このセキュリティ システムは、UEFI ブートキット/ルートキット ( 1、2、3 ) がコンピューター上で起動するのを防ぎ、ベンダーがシステムを出荷した後にオペレーティング システムが改ざんされていることをユーザーに警告するように設計されています。

デフォルトの MSI 設定により、安全でないブートが発生する

Potocki は、2021 年 9 月から 2022 年 1 月の間にリリースされた MSI のファームウェア アップデートにより、MSI マザーボードのデフォルトのセキュア ブート設定が変更され、セキュリティ違反が検出された場合でもシステムが起動するようになったと主張しています。

「sbctl の助けを借りて、新しいデスクトップにセキュア ブートをセットアップすることにしました。残念ながら、信頼できるかどうかに関係なく、ファームウェアが提供したすべての OS イメージを受け入れていることがわかりました」と研究者は彼の記事で説明しています。 .

「後で 2022 年 12 月 16 日に発見したように、それはファームウェアの破損だけではありませんでした。MSI はセキュア ブートのデフォルトを変更して、セキュリティ違反での起動を許可していました(!!)。」

この変更により、ファームウェアの「イメージ実行ポリシー」設定が誤ってデフォルトで「常に実行」に設定され、任意のイメージが通常どおりデバイスを起動できるようになりました。

最新の MSI ファームウェアの安全でないデフォルト設定
最新の MSI ファームウェアの安全でないデフォルト設定
ソース: www.dawidpotocki.com

上の画像からわかるように、セキュア ブートが有効になっていても、「イメージ実行ポリシー」設定が「常に実行」に設定されているため、セキュリティ違反があってもシステムを起動できます。

これにより、信頼できないイメージを使用してデバイスを起動できるため、セキュア ブート機能が実質的に機能しなくなります。

Potocki 氏は、ユーザーは「リムーバブル メディア」と「固定メディア」の実行ポリシーを「実行を拒否」に設定する必要があると説明しています。これにより、署名付きソフトウェアの起動のみが許可されます。

安全でないオプションの変更
安全でないオプションの変更(dawidpotocki.com)

研究者は、MSI が変更を文書化したことがないため、IFR (UEFI Internal Form Representation) を使用して安全でないデフォルトの導入を追跡し、構成オプション情報を抽出する必要があると述べています。

Potocki はこの情報を使用して、どの MSI マザーボードがこの問題の影響を受けているかを判断しました。この安全でない設定の影響を受ける 290 を超えるマザーボードとファームウェア バージョンの完全なリストは、 GitHub で入手できます

そのリストにある MSI マザーボードを使用している場合は、BIOS 設定に移動し、「イメージ実行ポリシー」が安全なオプションに設定されていることを確認してください。

2022 年 1 月以降マザーボードのファームウェアをアップグレードしていない場合、ソフトウェアの更新には重要なセキュリティ修正が含まれているため、不適切なデフォルトの導入がそれ以上延期する理由にはなりません。

は MSI に連絡して、上記についてコメントを求め、新しいアップデートでデフォルト設定を変更する予定があるかどうかを尋ねましたが、まだ回答を待っています。


更新 1/18 – 各 MSI マザーボード モデルの脆弱なファームウェア バージョンについて、Dawid Potocki から説明を受け、記事に必要な修正を行いました。

更新 1/20 – MSI は のコメント要求にまだ応答していませんが、同社は Reddit に次の声明を投稿しました。

MSI は、Windows 11 の発売前に Microsoft と AMI によって定義された設計ガイダンスに従って、マザーボード製品にセキュア ブート メカニズムを実装しました。

事前にセキュア ブートを有効に設定し、デフォルト設定として「常に実行」を設定して、複数のエンド ユーザーがビルトイン オプションを含む数千 (またはそれ以上) のコンポーネントを使用して PC システムを柔軟に構築できるユーザー フレンドリーな環境を提供します。 OS イメージを含む ROM により、互換性の高い構成が可能になります。

セキュリティに非常に関心のあるユーザーは、「イメージ実行ポリシー」を「実行を拒否」またはその他のオプションとして手動で設定して、セキュリティのニーズを満たすことができます。

プリセット BIOS 設定に関するセキュリティ上の懸念の報告を受けて、MSI は、より高いセキュリティ レベルのデフォルト設定として「Deny Execute」を使用して、マザーボード用の新しい BIOS ファイルを展開します。 MSI はまた、エンド ユーザーが必要に応じて変更できるように、完全に機能するセキュア ブート メカニズムを BIOS に保持します。