2017年後半から危険なセキュリティホールだとして騒がれていたIntel MEのセキュリティホールは知っていますか?
何でもIntel CPUに搭載されたIntel MEとう言う機能に穴が空いているらしく、他社から遠隔操作が可能になってしまうらしいとの事です。
私が最近組み上げたパソコンのパーツも対象らしいのですが、CPUとマザーボードが最新の「i7-8700K + MSI Z370 Tomahawk」ですので、新しいパーツについてのそれらしい情報が見つかりません。
それなら自分で試してみたほうが早いということで、今回は上記のパーツに対してIntel MEファームウェアのアップデートを試してみる事にしました。
ちなみに、やり方は「他のIntel CPU + 他メーカーのマザーボード」の組合せでも方法は同じだと思われます。
- 対応チップセット:Intel B150/B250/H170/H270/Z170/Z270/Z370
アップデートを試すきっかけ
私が最近パソコンを組み上げたばかりで気分良く使っていたのですが、購入してからちょっとしか経っていないのでなんとセキュリティホールが空いてて危険言うニュースを見ました。
それは大変だという事で、私が使っているマザーボードのメーカーであるMSI公式ページを確認してみましたが、具体的なIntel MEのFQアップデート方法に関する記載がありませんでした。
代わりにマザーボードのUFEI(BIOS)をアップデートすれば脆弱性は防げるみたいな記載は有りましたが、CPU自体に穴が開きっぱなしの状態はやはり不安な点があります。
ちなみに他メーカーでASUSの場合はIntel ME FWのアップデートツールが提供しているという・・・(´・ω・`)
ただし、ツール自体はIntel純正?みたいな奴なので、もしかしてIntel純正と同じものなのでは?と思い、直接Intel MEのファームウェアを手動アップデートを試してみることにしました。
この作業はCPU内のファームウェアを直接アップデートする行為となりますが、この記事を見て試して失敗したとしても完全自己責任となりますのでご了承下さい。
もしマザーボードが起動しなくなっても、当方は一切責任を負いません。
Intel MEとは?
そもそも「Intel ME」とは何ぞや?なのですが、以下の機能を実現する為にCPUのメイン部分とは別に搭載されたリモート管理用プロセッサのようです。
- BIOSレベルで遠隔地から電源ON/OFFのリモート操作
- リモート操作でBIOS設定の変更・適用
- OSの設定変更や復元処理
単純なリモート操作では電源ONやBIOS設定までは出来ないので、商用マシンのメンテナンスに使える非常に便利そうな機能ですね。
なお、Intel MEについての詳しい情報は下記が参考になります。
インテル
マネジメント・エンジンの概要
インテルR マネジメント・エンジンは、インテルR プロセッサー搭載コンピューター・システムにさまざまな機能とサービスを提供する軽量のマイクロカーネル・オペレーティング・システムを実行している組込みマイクロコンピューター (一部のインテル製チップセットに内蔵) です。
インテルR マネジメント・エンジンにはどのような機能がありますか?
以下の機能があります (ただし、これらに限定されません)。
低消費電力、アウトオブバンド (帯域外) 管理サービス
Capability Licensing Service (CLS)盗難防止機能
Protected Audio Video Path (PAVP)
Intel AMTを使って、リモートからのBIOS制御やOSリカバリに挑戦
Home IT(家庭内IT)というのは聞き慣れない言葉かもしれないが、今後数年のうちにトレンドとなる言葉の1つではないかと筆者は思っている。というのも、現在多くの家庭で複数台のPCが所有されている状況になりつつある。それを後押ししているのは、ネットブックのような低価格PCの存在で、今では1人1台のPCを持つのは当たり前。それどころか、1人で複数のPCを所持するのも珍しくなくなってきている。
そうなると大変なのがPCとそれにより構成される家庭内ネットワークの管理ではないだろうか。今回は、そうしたHome ITを効率よく管理するために役立つ技術として、Intelが企業向けPCブランド「vPro」向けの技術として提供しているAMT(Active Management Technology)を使ってみたい
Intel MEのセキュリティホールについて
今回対処するIntel MEのセキュリティホールで何がまずいかと言うと、電源が入っていなくても攻撃者が勝手に電源をONにして、管理者権限からパソコンにアクセスされる可能性があるという事です。
つまり、第三者が簡単に自分のPCを遠隔操作してごにゅごにゅされちゃう可能性がある!って事なので、これは非常にヤバイ(;´Д`)
なお、このセキュリティホール対策が必要な対象CPUは以下の通りです。
- Intel ME FW:Ver 11.0/11.5/11.6/11.7/11.10/11.20
- SPSファームウェアバージョン4.0、およびTXEバージョン3.0を使用しているプラットフォーム
上記のFWバージョンをCPU世代で言うなら、第6世代/第7世代/第8世代Coreプロセッサー・ファミリーが対象となります。
自分のパソコンが対象か分からない場合は、UEFI(BIOS)から起動してCPU情報からIntel ME FWバージョンが確認出来ると思います。
Intel MEのセキュリティホールついての詳細は以下を参考。
Intel Management Engineなどに8個の脆弱性が発見 ~第6世代Core以降が影響、ThinkPadなどがすでに対策開始
米Intelは20日(現地時間)、Intel Management Engine(ME)、Intel Server Platform Services(SPS)、およびIntel Trusted Execution Engine(TXE)に合計8個の脆弱性が存在することを発表した。
手動アップデートに必要なもの
Intel MEのファームウェアを手動でアップデートするには以下のツールが必要です。
※2019/06/10:現在のバージョン
- ツール動作対象OS:Windows7/8/8.1/10
- 最新マザーボードUFEIへのアップデート:MSI - Z370 Tomahawk
- Intel ME Windows Driver Ver 1916.12.0.1263:Station-Drivers - IME Driver
- Intel ME バージョン確認ツール:Intel DiscoveryTool(SA00086)
- IME FW 11.8.65.3572(Z&H 170/270/370:デスクトップ版):Station-Drivers - IME FW
- その他のチップセット用IME FW:Station-Drivers - Bios & Drivers
マザーボード搭載のUFEIをアップデート
IME FWのアップデートする前に、事前準備として必ずマザーボード搭載のUFEI(BIOS)を最新状態にアップデートしておきます。
MSIメーカーのマザーボードをアップデートする方法は次の2通りです。
M-FLASHから手動アップデート
手動でアップデートを行うには、MSIの公式サイトからマザーボード専用の圧縮されたUFEIイメージファイルをダウンロードしておき、それを解凍してから中身をUSBメモリのルートフォルダにコピーしておきます。
- パソコンのPOST中にキーを押して、UFEIセットアップ画面に入ります。
- 解凍したUFEIイメージファイルを含むUSBメモリをマザーボードのUSBポートに挿入します。
- UFEIメニューにある「M-FLASH」タブを選択して表示されるメニューで「Yes」をクリックすると、パソコンが再起動してUFEIフラッシュモードが起動します。
- メニューから書き込むUFEIイメージファイルを選択し、アップデートプロセスをスタートします。
- アップデートプロセスが完了した後はシステムが自動的に再起動しますので、問題なく起動すればアップデート完了です。
「MSI Live Update 6」からオンラインアップデート
オンラインアップデートを行う場合は付属DVDに入っている「MSI Live Update 6」と言うアプリを使用します。
このアプリでオンラインアップデートを行うにはインターネットにつながっている必要がありますので、事前にLANドライバーをインストールしてPCがネットに正しく接続されている状態にしておきます。
- 付属DVDから「MSI LIVE UPDATE 6」をインストールしてアプリを起動します。
- メニューから「BIOSアップデート」を選択して「スキャン」ボタンをクリックします。
- ダウンロードアイコンが表示されるので、それをクリックしてから最新のUFEIファイルをダウンロードします。
- メニューで「Next」をクリックして書き込みモードで「In Windows mode」を選択して、「Next」→「Start」とクリックするとUFEIのアップデートを開始されます。
- UFEIアップデートプロセスが終了するとシステムが自動的に再起動して、問題なく起動すればアップデート完了です。
MSI以外のマザーボードをお使いの場合は、ご利用のメーカーのマニュアルを参照してUFEIアップデートを行ってください。
Intel ME用Windows Driverのインストール
前項のダウンロード先を開いて、Intel MEドライバーの「intel_mei_1916.12.0.1263(www.station-drivers.com).exe」をダウンロードして自己解凍を実行します。
以下の様にファイルが解凍出来たら「SetupME.exe」を実行して、パソコンにMEドライバーをインストールします。
もしドライバが正しくインストール出来ない場合は、解凍フォルダの「drivers\HECI_REL\win10\」の中にinfファイルが入っていますので、デバイスマネージャーから直接インストールすることも可能です。
Intel DiscoveryTool(SA00086)からIME Verの確認
Intel MEのバージョンを確認する方法としてIntel DiscoveryTool(SA00086)を使う方法があります。
先程、Microsoft公式ページからダウンロードしておいた「SA00086_Windows.zip」を解凍します。
なお、ダウンロードがまだ済んでいない場合は、先程の公式ページのリンクを開き「MicrosoftとLinuxユーザー向けのリソース」の下にある「intel-sa-00086 検出ツール」を開くと「SA00086_Windows.zip」がダウンロード出来ます。
ファイルの解凍ができたら「SA00086_Windows」フォルダ中にある「DiscoveryTool.GUI」フォルダを開き、実行ファイルの「Intel-SA-00086-GUI.exe」を起動します。
Intel-SA-00086-GUIを起動すると自動的にIntel MEセキュリティホール検証が開始され、以下の様に結果が表示されます。
マザーボードのUEFI(BIOS)は事前に更新しておいたのでセキュリティホール自体は塞がれていますが、インテル(R)ME情報の部分を見ると「11.8.50.3399」となっており、Intel MEのFWが古いままになっています。
念の為にUFEI(BIOS)を起動して確認してみます。
こちらでもIntel ME FWのバージョンが「11.8.50.3399」となっており、間違いではありませんでした。
Intel ME FWのバックアップとアップデート
それではいよいよIntel MEファームウェアの手動アップデートを行います。
なお、アップデートを行う前に一度パソコンを再起動しておき、再起動後は不要なアプリを立ち上げないようにします。
前項のダウンロード先から「intel_me_fw_11.8.65.3572_con_h(www.station-drivers.com).zip」をダウンロードして、ファイル名を「IME.zip」とリネームします。
リネームを行うのはファイル名が原因でツールが動作しない場合を防ぐためです。また、リネームしたファイルの解凍先はHDDドライブの直下(例:C:\MEI\)に指定します。
フォルダの配置が完了したらアップデートツールを実行する為に、管理者権限でコマンドプロンプトを起動します。
起動方法はWindowsのスタートメニューから「コマンドプロンプト」を右クリックして、メニューから「管理者権限として実行」を選びます。
もしコマンドプロンプトが見つからない場合、検索メニューから「cmd.exe」と入力すると見つけることが出来ます。
コマンドプロンプトが開いたら、先程解凍したフォルダ内にある「MEInfo」フォルダを開きます。
Intel ME情報の最終確認
フォルダ内に「MEInfoWin64.exe」というIME情報出力ツールがありますので、これをコマンドプロンプトから起動させます。
以下のコマンドを入力してください。
C:\IME\MEInfo\MEInfoWin64.exe
コマンドを実行すると以下の様にIntel MEのファームバージョンが表示されます。
このツールで各情報が読み込めるならアップデートツールの使用が可能ということですが、念の為にIntel ME FWのバージョンに間違いが無いかの最終確認を行います。
Intel ME FWのバックアップ
次は現在稼働中のCPUからIntel ME FWを吸い出してバックアップします。
使用するのは解凍したフォルダ内にある「FWUpdLcl64.exe」というツールで、このツールを使うことでバックアップとアップデートが可能です。
コマンドプロンプトに以下の通りにバックアップ用コマンドを入力します。
C:\IME\FWUpdLcl64.exe -SAVE xxxxx.bin
※「xxxxx.bin」は保存するファイル名となり、任意で変更可能です。
コマンドを実行すると以下の様に「STATUS: restore point operation success.」と表示されればバックアップ成功です。ツールと同じフォルダにバックアップしたファイルが作成されます。
なお、もし時点でエラーが出た場合は、アップデートが失敗する可能性が高いので作業を中断してください。
Intel ME FWのアップデート
既存のIntel ME FWのバックアップが完了したら、いよいよ最新版のIntel ME FWにアップデートを行います。
コマンドプロンプトに以下のアップデート用コマンドを入力してください。
FWUpdLcl64.exe -f ME_11.8_Consumer_D0_H_Production.bin
※ME_xxxxxx.binファイルは解凍したフォルダに同梱されており、バージョンによって変わります。
アップデートには多少時間が掛かりますが、その間はパソコンを触らないようにします。
アップデートが終われば上の様に「FW Update is completed successfully.」と表示されます。
これでIntel ME FWのアップデート作業が完了ですが、パソコンを操作する前に必ず一度再起動を行い、パソコンが問題なく起動するかを確認します。
アップデート後の確認
パソコンが再起動した後、Intel MEのファームバージョンが新しくなっているかを確認します。
まずMEInfoツールから確認するため、コマンドプロンプトで以下のコマンドを入力します。
C:\IME\MEInfo\MEInfoWin64.exe
Intel ME FWの出力結果でバージョンが新しくなっているのが確認できますね。
次は「Intel DiscoveryTool(SA00086)ツール」でも確認してみたいと思います。
こちらも新しいバージョンになっているのが分かります。
最後にUFEI上からも確認してみます。
こちらからも無く新しいバージョンになっているのが確認できました。
まとめ
以上がIntel MEファームウェアの手動アップデートを行う方法でした。
私が手動アップデートを行おうと思った際はIntel ME FWの手動アップデート情報が少ないため、やり方が少々分かりにくかったですが、この記事でアップデートの手助けになれば幸いです。
ちなみにFWアップデート自体は簡単でしたので、そんなに失敗を恐れる必要はないのかもしれませんね(´・ω・`)
![Windows10上で削除出来ないファイルやフォルダを強制的に削除する方法!![エラーコード:0x80070091: ディレクトリが空ではありません。]](https://1.bp.blogspot.com/-JHOwbmDqeOo/XPj0JhepdOI/AAAAAAAACLs/us-VU7QJv5QcvftaUv0JfLq5T9YvuznbwCLcBGAs/s72-c/top_00031.jpg)
0 件のコメント:
※不適切な表現について:問題がありそうなコメントは削除致しますのでご了承ください。
※絵文字入力対応(Twitter風):🤣😋🤔🤟💖
コメントを投稿