お客様各位
2018年8月30日 掲載
2020年4月22日 更新
富士通株式会社
インテル社のリモート管理機能に関する脆弱性のお知らせ
フィンランドF-SECURE社より、米国インテルコーポレーション(以下、インテル社)の「Intel® Active Management Technology (AMT)」などのリモート管理機能にセキュリティ脆弱性がある旨の報告がされております。当社製品において、本脆弱性を利用した被害は現時点で確認されておりませんが、より安心して製品をお使いいただくため、以下の対処方法をご覧いただき、回避くださいますようお願いいたします。
脆弱性の概要
インテル社のリモート管理機能「Intel® Active Management Technology (AMT)」および「Intel® Standard Manageability (ISM)」において、Management Engine BIOS Extension (MEBx) のパスワードがご購入時のままの場合に、物理アクセス経由で特権の無い攻撃者に不正なローカルプロビジョンを受けるというセキュリティ脆弱性があります。このため、ネットワークからの攻撃者が、これらの機能を有するパソコンにリモートでアクセスすることが可能になる危険性があります。
対象機種
AMTまたはISM対応のCPU、チップセット、およびファームウェアを搭載した機種が対象です。以下の一覧よりご確認ください。
なお、対象の製品でも、搭載されるCPU、チップセット、ファームウェアがリモート管理機能に対応しないため、本脆弱性の対象外となることがありますので、お使いの機種が対象かどうか、インテル社より提供されているチェックツール(英語)でご確認ください。
- 以下のインテル社のWebサイトより、チェックツールをダウンロードして実行します。(管理者権限で実行する必要があります)
- 結果画面を確認します。
「ME Information」-「SKU」欄に、「Intel(R) Full AMT Manageability」または「Intel(R) Standard Manageability」と表示された場合は、対象です。
対処方法
対象機種一覧に掲載された機種でリモート管理機能の対象と確認された場合、マニュアルをご覧になり1.2の順に対処が必要です。
お使いの機種のマニュアルは以下のページよりご覧ください。
1.MEBxパスワード(初期パスワード)の変更と、BIOS管理者パスワードの設定
マニュアル「製品ガイド」(注1)をご覧になり以下の手順でパスワードを設定します。
- 「BIOS」-「ME BIOS Extension」(注2)の記載に従い、MEBxパスワード(初期パスワード)を変更します。初期パスワードは工場出荷時「admin」に設定されています。
- 「BIOS」-「設定事例集」-「BIOSのパスワード機能を使う」の記載に従い、BIOS管理者用パスワードを設定します。
- (注1)「製品ガイド(機種別編)」と「製品ガイド(共通編)」の両方がある場合、共通編を参照ください。
- (注2)「ME BIOS Extension」章記載の無い一部のデスクトップ機種の場合は、ME BIOS Extension(初期パスワード)を変更するに従い、MEBxパスワード(初期パスワード)を変更します。
- パスワードは第三者に推測されないように工夫してください。
- パスワードの変更は、本書に記載している設定手順の他、USBプロビジョニング、リモートプロビジョニングでも行えます。
詳しくは、Intel® Setup and Configuration Software(Intel® SCS) (英語) のUser Guideでご確認ください。
2. MEBxへのアクセスとUSBプロビジョン制御の無効化
マニュアル「BIOSセットアップメニュー一覧」(注3)-「詳細メニュー」をご覧になり以下を設定します。
- (注3)「製品ガイド」と「BIOSセットアップメニュー一覧」が一体の場合、「製品ガイド」-「BIOSセットアップメニュー一覧」を参照。
ノートブック、タブレットの場合
- 「Intel(R) Management Engine設定」-「Intel(R) MEセットアップオプション」を、「使用しない」に設定します。
- 「Intel(R) Management Engine設定」-「USBプロビジョニング」を、「使用しない」に設定します。
ただし、上記該当オプションがない場合、マニュアル「BIOSセットアップメニュー一覧」(注3)をご覧になり、下記のように設定してBIOSで電源起動時パスワードを設定およびUSBポートを「使用しない」に設定します。
- 「セキュリティメニュー」-「起動時のパスワード」を、「毎回」に設定します。
- 「詳細メニュー」-「USB設定」-「USBポート」を、「使用しない」に設定します。
デスクトップの場合
- 「AMT設定」-「Intel(R) AMT BIOS Extension」を、「使用しない」に設定します。
- 「AMT設定」-「AMT USBプロビジョニング」を「使用しない」に設定します。
ただし、上記該当オプションが無い場合、マニュアル一「BIOSセットアップメニュー一覧」(注3)をご覧になり、下記のように設定してBIOSで電源起動時パスワードを設定およびUSBポートを「使用しない」に設定します。
- 「セキュリティメニュー」-「起動時のパスワード」または「起動時のパスワード入力」を「毎回」に設定します。
- 以下のいずれかを設定します。
- -「USBコントローラ」を「使用しない」に設定します。
- -「USB設定」-「USBポートセキュリティ」-「USBポート設定」を「使用中ポートのみ設定」に、また「USB設定」-「USBポートセキュリティ」-「USBデバイス設定」を「キーボード/マウスのみ」に設定します。