Intel Active Management Technology のセキュリティベストプラクティスに関する Q&A 2017 年 12 月 対象とする読者 この Q&A は Intel Active Management Technology( インテル アクティブ マネジメント テクノ ロジー :AMT) を導入して有効化する予定のインテルのお客様を対象にしています 概要 : この Q&A は Intel AMT のプロビジョニングとそのセキュリティにおける考慮点 および以下の分野でのセキュリティ対策に焦点を当てています : 手動設定によるIntel AMTのプロビジョニング IDE-R/USB-R とSerial over LAN HTTPダイジェスト認証のスキーマ リモートプロビジョニング ワイヤレスIntel AMT 主なメッセージ インテルは 最小特権アクセスで実行すること ファームウェア セキュリティソフトウェア オペレーティングシステムを最新版に保つことなどを含むベストプラクティスに従うことを推奨しています インテルは プラットフォームを攻撃から守るためにあらゆる努力を払っており 報告された問題を真摯に調査して システムセキュリティをさらに強化するメリットや機会を判断しています 公開されている周知の方法と この Q&Aで提起されたほとんどの問題を緩和できる推奨されるセキュリティ構成を提示しています 悪意のあるユーザがこの潜在的な脆弱性を悪用するには Intel AMT TLS 構成の操作を試みるために システムを物理的に専有する必要があります 連絡先 : 技術的なアドバイスをご要望でしたら インテルカスタマーサポートまでお問い合わせください https://www.intel.com/content/www/us/en/support/intel-business-support.html
質問と回答 : Q1. このQ&Aの目的は何ですか? A1. このQ&Aは プラットフォームと Intel AMTのセキュリティ機能を保護するためのベストプラクティスを明確にし Intel AMTの脆弱性にまつわる誤解を解消するものです この攻撃を試みるためには デバイスとOS 管理者の資格情報に物理的にアクセスする必要があります Q2. Intel Active Management Technologyに セキュリティ上の懸念はありますか? A2. Intel vpro プラットフォームと それに搭載されているActive Management Technologyは 過去 10 年間で1 億台以上のシステムに ハードウェアがアシストする独自のセキュリティ機能と管理機能を提供しています インテルが製品の潜在的なセキュリティ上の脆弱性の報告を受けた場合は 報告書の評価を開始します 潜在的な脆弱性を確認し リスクを評価し 影響度を判断し 処理優先度を割り当てます 脆弱性の確認後 優先順位に従って以降のステップ全体を通した問題処理プロセスを決定します 直ちにリスク低減ステップを実行する必要がある重大な問題については https://www.intel.com/securityで通知します Q3. インテルの製品にセキュリティ上の脆弱性が存在しますか? A3. インテルは コンピュータープラットフォームのセキュリティを向上させるという当社の役割を認識しています インテルは セキュリティ上の脆弱性を特定し解決するために積極的に取り組んでいます脆弱性が特定された場合 製品セキュリティインシデント対応チーム (PSIRT) が その脆弱性を理解し 裏に潜む根本的な問題を理解するために インテルとセキュリティコミュニティとの間で協力して調査します PSIRTは サプライヤー 顧客 およびエンドユーザと連絡をとる責任を担っています PSIRTチームの広報はhttps://www.intel.com/securityからアクセスできます 以下は Intel Active Management Technology に適用するセキュリティアドバイザリーのリストです アドバイザリー番号 INTEL-SA-00075 アドバイザリータイトル インテル アクティブ マネジメント テクノロジー インテル スモール ビジネス テクノロジー (Intel Small Business Technology) インテル スタンダード マネージャビリティー (Intel Standard Manageability ) の脆弱性による特権昇格について INTEL-SA-00081 INTEL-SA-00082 INTEL-SA-00086 Intel AMT クリックジャッキング (Clickjacking) 脆弱性 Intel AMT 脆弱なファームウェアにアップグレード可能 インテル 2017 年第 3 四半期 ME11.x SPS 4.0 および TXE3.0 セキュリティレビューの累積更新 INTEL-SA-00093 Intel デュアルバンドとトリバンドの無線 AC 製品における Wi-Fi サブシステムのフレーム リプレイ脆弱性により リモートの攻撃者が無線 LAN のマンインザミドルによるリプレイ攻撃を受けるリスクがある INTEL-SA-00101 Wi-Fi Protected Access II (WPA2) プロトコルの脆弱性により 1 台以上のインテル製品が影響を受ける
Q4. インテルは 自社製品にセキュリティ上の問題があることを知った場合は その問題を開示しますか? A4. インテルは お客様に影響を及ぼすセキュリティ上の脆弱性に対処し 解決策 影響度 重大性およびリスクの低減に関する責任あるガイダンスを提供することをお約束します 製品セキュリティの問題に関する最新情報は 当社ポータル https://security-center.intel.com/ から入手できます Q5. 悪意のあるソフトウェアがIntel AMTを利用してPCを悪用するのを防ぐにはどうすればよいですか? 不審人物がアクセスするのを防ぐために どのような認証メカニズムが使用されていますか? A5. Intel AMTと 許可された管理コンソール間のアクセスと通信は完全に暗号化することが可能です 許可された管理コンソールが 暗号化されていない 場合でも Intel AMTとの通信は 構成時において有効な資格情報の設定が必要です ダイジェスト認証またはKerberos 認証がサポートされています また クライアントx509v3 証明書 ( 別名 TLS 相互認証 ) を必要とするようにIntel AMT を設定して 追加のセキュリティを提供することもできます さらに IT 管理者のアクセス権を特定のリモート機能のみに制限し 完全な権限は管理者権限を持つ者にのみ付与することができます Intel AMTには 監査人だけがログを消去して悪意のある部内者の攻撃を阻止することを可能にするアクセスモニター機能も装備されています Q6. Intel vpro プラットフォームでは Intel AMTはデフォルトで無効になっていますか? そうでない場合は ITサポートネットワークの一部としてではなく無効にできますか あるいはエンドユーザがデフォルトパスワードを変更することができますか? A6. お客様の要望に応じて Intel vpro プラットフォームは OEMで複数の状態 ( プロビジョニングなしでBIOSでオン プロビジョニングなしてBIOSでオフ プロビジョニングなしでBIOSで永続的にオフ ) で提供されます Intel AMT ファームウェアは 初めてネットワークに接続されたときには構成サーバを検索しません この機能は AMT 6.0 以降のプラットフォームで削除されました ローカルエンドユーザがAMTを有効または無効にするためのデフォルトのパスワードがあります インテルは BIOSで AMTがオンにされている新しいIntel AMT 対応プラットフォームを導入する際には デフォルトのパスワードを変更してIntel AMT をプロビジョニングするか ユーザがIntel AMT を無効にすることを推奨します Q7. 手動構成によるIntel AMTのプロビジョニングにセキュリティ上の脆弱性が存在しますか? A7. Intel AMTの手動構成方法では 基本設定でIntel AMTシステムをプロビジョニングできますが インテル マネジメント エンジンBIOS 拡張 (Intel MEBx) または構成済みのUSBキーを使用して起動するには デバイスへのローカルアクセスが必要です Intel MEBxのデフォルトパスワードが一度も変更されていない場合は システムに物理的にアクセスする権限のない人がIntel AMTをIntel MEBx またはデフォルトのパスワードを使用してUSBキーにより手動でプロビジョニングされる恐れがあります システムの製造元がシステムBIOSパスワードでIntel MEBxメニューを保護するというインテルの勧告に従っている場合は この物理的な攻撃リスクは低減されます
Q8. インテルは 手動構成による不正なIntel AMT プロビジョニングの潜在的な脆弱性を軽減するためにシステム製造業者にガイドラインを提供しましたか? A8. はい インテルは2015 年 9 月に Intel MEBxをシステムBIOSパスワードで保護するように システム製造元に推奨しています また システムメーカーがシステムBIOSオプションを提供して USBプロビジョニングを無効にし デフォルトの値を無効に設定することも推奨しています Q9. IDE-RやSerial over LANにセキュリティ上の脆弱性が存在しますか? A9. 既存のシステム (AMT 5.x 以前 ) では TLSが無効の場合にのみSOL/IDERを実行する際にパスワードが表示される恐れがあります AMT 6.0およびそれ以降のバージョンでは インテルは追加の認証方式をサポートすることでこれらの機能をさらに堅牢化しています Q10. HTTPダイジェスト認証方式にセキュリティ上の脆弱性が存在しますか? A10. HTTPダイジェスト認証には ID 形式としてユーザ名とパスワードが必要です 理論的には HTTP ダイジェスト認証中に交換されるIntel AMT 資格情報を覗くことは可能です この方式は安全性が低いので 大部分のお客様はKerberosベースの認証方式を使用しています Q11. Intel AMTのリモートプロビジョニングに関してセキュリティ上の脆弱性はありますか? A11. CAインフラストラクチャとドメインのハッキングに成功するためには 複雑な手順の一環で 不正な証明書を購入してインストールする必要があります 証明書に加えて 不正なDHCPサーバを設定することによってネットワークにアクセスする必要があり リモートプロビジョニングタスクを実行するためにクライアントに対する管理者権限も必要になります Q12. 802.11に関連するワイヤレスIntel AMTにセキュリティ上の脆弱性はありますか? A12. すべての802.11 準拠製品 (Intel AMT および非 AMT) には一般的なセキュリティ上の懸念があります インテルはAMT 構成を実装しているため オープンネットワークへの接続を防ぎ PSKプロファイルにパスワードポリシーを強制します Intel AMTの構成は AMT 認可ユーザのみがワイヤレスプロファイルを追加できます さらに 安全なWLAN 接続のために 802.1x 認証と802.11i 暗号化の両方がサポートされています この文書の情報は インテル製品と関連して提供されています 本文書に明示されていない限り 黙示的 禁反言的にかかわらず 本文書の規定が 知的財産権へのライセンスを付与するものと解釈されることはありません そのような製品に対するインテルの販売規定に記載されている場合を除き インテルはいかなる責任も負いません また インテルは 特定の目的 商品性 特許 著作権 またはその他の知的財産権の侵害に関連した責任または保証を含むインテル製品の販売および / または使用に関連する明示的または黙示的な保証を否認します インテルは 予告なしにいつでも仕様および製品の説明に変更を加える可能性があります
規定されたすべての製品 日付 および数値は 現在の予想に基づく暫定的なものであり 予告なしに変 更されることがあります インテル プロセッサー チップセット およびデスクトップボードには 製品が公表されている仕様か ら逸脱する可能性のある設計上の不具合またはエラーが含まれている可能性があります 現時点で判明し ている不具合の情報は要望に応じて入手可能です インテルのテクノロジーの特徴と利点は システム構成に依存し ハードウェア ソフトウェア サービスの有効化が必要な場合があります パフォーマンスは システム構成によって異なります 絶対に安全なコンピュータシステムはありません システムの製造元または販売店に問い合わせるか http://intel.comで詳細を確認してください 一部の結果は インテルの内部解析またはアーキテクチャのシミュレーションまたはモデリングを使用して推 定またはシミュレートされており 情報の目的 システムのハードウェア ソフトウェア 構成の相違が実際 の性能に影響を与える可能性があります インテルおよびインテルのロゴは Intel Corporation の米国およびその他の国における登録商標です 著作権 Intel Corporation 2017