サポート

インテル® マネジメント・エンジンの重要なファームウェア・アップデート (Intel-SA-00086)


最終改訂日: 16-Aug-2018
記事 ID: 000025619

インテル® マネジメント・エンジン (インテル® ME 6.x/7.x/8.x/9.x/10.x/11.x)、インテル® トラステッド・エグゼキューション・エンジン (インテル® TXE 3.0)、およびインテル® サーバー・プラットフォーム・サービス (インテル® SPS 4.0) の脆弱性 (Intel-SA-00086)

この記事では、インテル® マネジメント・エンジン・ファームウェアで検出されたセキュリティーの脆弱性に関連した問題を説明します。この記事に、プロセッサーのサイドチャネルの脆弱性 (「Meltdown」/「Spectre」と呼ばれるもの) に関する情報は記載されていません。「Meltdown」/「Spectre」の問題に関する情報をお探しの場合は、サイドチャネル解析に関する事実とインテル® 製品についてをご覧ください。

インテル社は、外部の研究者の指摘を受け、ファームウェアの更新と強化を目的として、以下のように問題点の詳細かつ包括的なセキュリティー・レビューを実行しています。

  • インテル® マネジメント・エンジン (インテル® ME)
  • インテル® トラステッド・エグゼキューション・エンジン (インテル® TXE)
  • インテル® サーバー・プラットフォーム・サービス (SPS)

インテルは、特定の PC、サーバーおよび IoT プラットフォームに影響を与える可能性のあるセキュリ ティー脆弱性を確認しました。

インテル ME ファームウェア・バージョン 6.x~11.x を使用しているシステム、SPS ファームウェア・バージョン 4.0 を使用しているサーバー、および TXE バージョン 3.0 を使用しているシステムがこの影響を受けます。これらのバージョンのファームウェアは以下のプロセッサーで使用されています。

  • 第 1 世代~第 8 世代インテル® Core™ プロセッサー・ファミリー
  • インテル® Xeon® プロセッサー E3-1200 v5 / v6 製品ファミリー
  • インテル® Xeon® プロセッサー・スケーラブル・ファミリー
  • インテル® Xeon® W プロセッサー
  • Intel Atom® C3000 プロセッサー・ファミリー
  • Apollo Lake Intel Atom® プロセッサー E3900 シリーズ
  • Apollo Lake インテル® Pentium® プロセッサー
  • インテル® Pentium® プロセッサー G シリーズ
  • インテル® Celeron® G / N / J シリーズ・プロセッサー

発見された脆弱性がお使いのシステムに影響を与えるかどうかを確認するには、以下のリンクから Intel-SA-00086 検出ツールをダウンロードして実行してください。

よくある質問セクション

利用可能なリソース

Microsoft および Linux* ユーザー向けリソース

バージョン 1.0.0.146 より前のバージョンの Intel-SA-00086 検出ツールは、CVE-2017-5711 および CVE-2017-5712 をチェックしません。これらの CVE は、インテル® アクティブ・マネジメント・テクノロジー (インテル® AMT) バージョン 8.x~10.x を搭載したシステムのみに影響します。インテル® AMT 8.x~10.x 搭載システムのユーザーは、1.0.0.146 以降のバージョンをインストールすることをお勧めします。このバージョンをインストールすると、INTEL-SA-00086 セキュリティー・アドバイザリーに関連してシステムの状態を確認することができます。Intel-SA-00086 検出ツールのバージョンは、実行後に出力ウィンドウのバージョン情報で確認できます。

システム / マザーボード製造元からのリソース

その他のシステム / マザーボードの製造元のリンクは、利用可能になった時点で提供いたします。お使いの製造元が一覧にない場合は、必要なソフトウェア・アップデートの提供状況について直接お問い合わせください。


よくある質問:

Q: Intel-SA-00086 検出ツールでシステムが脆弱であると報告されました。解決方法
A:
インテルは、セキュリティー・アドバイザリー Intel-SA-00086 で確認した脆弱性を解決するために必要なファームウェアおよびソフトウェア・アップデートをシステム / マザーボードの製造元に提供いたしました。

エンドユーザーに対するアップデート提供予定については、お使いのシステムまたはマザーボードの製造元にお問い合わせください。

製造元によっては、追加の情報と利用可能なソフトウェア・アップデートをお客様が入手できるリンクをインテルに提供しています (下記リストをご覧ください)。

Q: どうしてシステムまたはマザーボードの製造元に問い合わせ必要があるのでしょうか。システムに必要なアップデートをインテルが提供しないのはどうしてですか。
A:
システムとマザーボードの製造元がマネジメント・エンジン・ファームウェアにカスタマイズを加えているため、インテルは汎用版のアップデートを提供することはできません。

Q: Intel-SA-00086 検出ツールでシステムが may be Vulnerable (脆弱な可能性があります) と報告されました。解決方法
A:
may be Vulnerable (脆弱な可能性があります) ステータスは、以下のいずれかのドライバーがインストールされていない場合に表示されます。

  • インテル® マネジメント・エンジン・インターフェイス (インテル® MEI) ドライバー 
あるいは
  • インテル® トラステッド・エグゼキューション・エンジン・インターフェイス (インテル® TXEI) ドライバー
システムに合ったドライバーを入手するには、お使いのシステムまたはマザーボードの製造元にお問い合わせください。

Q: 使用しているシステムまたはマザーボードの製造元がリストにありません。解決方法
A:
以下のリストは、インテルに情報を提供したシステムまたはマザーボードの製造元のリンクをまとめたものです。お使いの製造元がリストにない場合には、通常のサポート方法 (Web サイト、電話、メールなど) で直接お問い合わせください。

Q: 発見された脆弱性を悪用する攻撃者は、どのような種類のアクセスを試みるのですか。
A:
その装置の製造元がインテルが推奨する Flash Descriptor 書き込み保護を有効にしている場合、攻撃者が脆弱性を悪用するには該当プラットフォームのファームウェア・フラッシュに対する物理アクセスが必要です。

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
そのプラットフォームのフラッシュメモリーに物理的に接続されたフラッシュ・プログラム・ツールを通じ、攻撃者は悪意のあるファームウェア・イメージを仕込んでプラットフォームを手動アップデートし、物理アクセス権限を取得します。Flash Descriptor 書き込み保護とはプラットフォームの設定で、通常製造完了時に設定されます。Flash Descriptor 書き込み保護を設定する目的は、製造完了後にフラッシュが攻撃目的または不注意で改変されることを防ぐことです。

製造元がインテル推奨の Flash Descriptor 書き込み保護を有効にしていない場合、攻撃者が必要とするのはオペレーティング・カーネル・アクセス (論理アクセス、オペレーティング・システム・リング 0) です。攻撃者が悪意のあるプラットフォーム・ドライバーで該当プラットフォームに悪意のあるファームウェア・イメージを適用し、確認された脆弱性を悪用するにはこのアクセス権限が必要となります。

CVE-2017-5712 で確認された脆弱性は、有効なインテル® マネジメント・エンジンの管理クリデンシャルを使って、ネットワークを介しリモートでで悪用可能です。有効な管理権限が利用可能でない場合、この脆弱性を悪用することはできません。

追加のサポートが必要な場合は、インテル・カスタマー・サポートにお問い合わせの上、オンライン・サービス・リクエストを送信してください。

関連製品のサポート

現行製品

インテル® サーバー・プラットフォーム・サービス・ファームウェア