質問と回答 : Q1. このQ&Aの目的は何ですか? A1. このQ&Aは プラットフォームと Intel AMTのセキュリティ機能を保護するためのベストプラクティスを明確にし Intel AMTの脆弱性にまつわる誤解を解消するものです この攻撃を試みるためには デバイスとOS 管理者の資格情報に物

Intel® Active Management Technologyのセキュリティベストプラクティスに関するQ＆A

2017年12月

対象とする読者

この Q＆A は、Intel® Active Management Technology（

インテル・アクティブ・マネジメント・テクノ ロジー：

AMT）を導入して有効化する予定のインテルのお客様を対象にしています。

概要：

この Q＆A は、Intel®AMTのプロビジョニングとそのセキュリティにおける考慮点、および以下の分野

でのセキュリティ対策に焦点を当てています：

•

手動設定によるIntel®AMTのプロビジョニング

• IDE-R/USB-R とSerial over LAN

•

HTTPダイジェスト認証のスキーマ

•

リモートプロビジョニング

•

ワイヤレスIntel®AMT

主なメッセージ

• インテルは、最小特権アクセスで実行すること、ファームウェア、セキュリティソフトウェア、

オペレーティングシステムを最新版に保つことなどを含むベストプラクティスに従うことを推

奨しています。

• インテルは、プラットフォームを攻撃から守るためにあらゆる努力を払っており、報告された問

題を真摯に調査して、システムセキュリティをさらに強化するメリットや機会を判断しています。

• 公開されている周知の方法と、このQ＆Aで提起されたほとんどの問題を緩和できる推奨されるセ

キュリティ構成を提示しています。

• 悪意のあるユーザがこの潜在的な脆弱性を悪用するには、Intel®AMT TLS構成の操作を

試みるために、システムを物理的に専有する必要があります。

連絡先：

技術的なアドバイスをご要望でしたら、インテルカスタマーサポートまでお問い合わせください。

https://www.intel.com/content/www/us/en/support/intel-business-support.html

質問と回答：

Q1. このQ&Aの目的は何ですか?

A1. このQ＆Aは、プラットフォームとIntel®AMTのセキュリティ機能を保護するためのベストプラクテ

ィスを明確にし、Intel®AMTの脆弱性にまつわる誤解を解消するものです。この攻撃を試みるためには、

デバイスとOS管理者の資格情報に物理的にアクセスする必要があります。

Q2. Intel® Active Management Technologyに、セキュリティ上の懸念はありますか？

A2. Intel

®vPro™プラットフォームと、それに搭載されているActive Management Technologyは、過去

10年間で1億台以上のシステムに、ハードウェアがアシストする独自のセキュリティ機能と管理機能を提供

しています。インテルが製品の潜在的なセキュリティ上の脆弱性の報告を受けた場合は、報告書の評価を開

始します。潜在的な脆弱性を確認し、リスクを評価し、影響度を判断し、処理優先度を割り当てます。脆弱

性の確認後、優先順位に従って以降のステップ全体を通した問題処理プロセスを決定します。直ちにリスク

低減ステップを実行する必要がある重大な問題については、https：//www.intel.com/securityで通知しま

す。

Q3. インテルの製品にセキュリティ上の脆弱性が存在しますか？

A3.

インテルは、コンピュータープラットフォームのセキュリティを向上させるという当社の役割を認識し

ています。インテルは、セキュリティ上の脆弱性を特定し解決するために積極的に取り組んでいます 脆弱

性が特定された場合、製品セキュリティインシデント対応チーム（PSIRT）が、その脆弱性を理解し、裏に

潜む根本的な問題を理解するために、インテルとセキュリティコミュニティとの間で協力して調査します。

PSIRTは、サプライヤー、顧客、およびエンドユーザと連絡をとる責任を担っています。PSIRTチームの広

報は

https://www.intel.com/security

からアクセスできます

。

以下は

Intel® Active Management Technology

に適用するセキュリティアドバイザリーのリストです。

アドバイザリー番号 アドバイザリータイトル

INTEL-SA-00075 インテル・アクティブ・マネジメント・テクノロジー、インテル・スモール・ビジネス・テクノロジー （Intel Small Business Technology） 、インテル・スタンダード・マネージャビリティー（Intel Standard Manageability ）の脆弱性による特権昇格について

INTEL-SA-00081 Intel®AMT クリックジャッキング（Clickjacking

）

脆弱性 INTEL-SA-00082 Intel®AMT 脆弱な ファームウェアにアップグレード 可能

INTEL-SA-00086 インテル 2017年第3四半期 ME11.x、 SPS 4.0、 およびTXE3.0 セキュリティレビューの累積更新

INTEL-SA-00093 Intel®デュアルバンドとトリバンドの無線AC製品におけるWi-Fiサブシステムのフレーム・リプレイ脆弱性により、 リモートの攻撃者が無線LANのマンインザミドルによるリプレイ攻撃を受けるリスクがある。

Q4. インテルは、自社製品にセキュリティ上の問題があることを知った場合は、その問題を開示します

か？

A4.

インテルは、お客様に影響を及ぼすセキュリティ上の脆弱性に対処し、解決策、影響度、重大性お

よびリスクの低減に関する責任あるガイダンスを提供することをお約束します。製品セキュリティの問題

に関する最新情報は、当社ポータル https://security-center.intel.com/から入手できます。

Q5.

悪意のあるソフトウェアがIntel®AMTを利用してPCを悪用するのを防ぐにはどうすればよいです

か？不審人物がアクセスするのを防ぐために、どのような認証メカニズムが使用されていますか？

A5. Intel

®AMTと、許可された管理コンソール間のアクセスと通信は完全に暗号化することが可能です。

許可された管理コンソールが「暗号化されていない」場合でも、Intel®AMTとの通信は、構成時におい

て有効な資格情報の設定が必要です。ダイジェスト認証またはKerberos認証がサポートされています。ま

た、クライアントx509v3証明書（別名TLS相互認証）を必要とするように

Intel®AMT

を設定して、追加

のセキュリティを提供することもできます。さらに、IT管理者のアクセス権を特定のリモート機能のみに

制限し、完全な権限は管理者権限を持つ者にのみ付与することができます。

Intel

®AMTには、監査人だ

けがログを消去して悪意のある部内者の攻撃を阻止することを可能にするアクセスモニター機能も装備

されています。

Q6.

Intel®vPro™プラットフォームでは、Intel®AMTはデフォルトで無効になっていますか？そうで

ない場合は、ITサポートネットワークの一部としてではなく無効にできますか、あるいはエンドユーザが

デフォルトパスワードを変更することができますか？

A6.

お客様の要望に応じて、Intel®vPro™プラットフォームは、OEMで複数の状態（プロビジョニング

なしでBIOSでオン、プロビジョニングなしてBIOSでオフ、プロビジョニングなしでBIOSで永続的にオ

フ）で提供されます。

Intel®AMT

ファームウェアは、初めてネットワークに接続されたときには構成サ

ーバを検索しません。この機能は、AMT 6.0以降のプラットフォームで削除されました。ローカルエンド

ユーザがAMTを有効または無効にするためのデフォルトのパスワードがあります。インテルは、BIOSで

AMTがオンにされている新しい

Intel®AMT

対応プラットフォームを導入する際には、デフォルトのパス

ワードを変更して

Intel®AMT

をプロビジョニングするか、ユーザが

Intel®AMT

を無効にすることを推奨

します

。

Q7. 手動構成によるIntel®AMTのプロビジョニングにセキュリティ上の脆弱性が存在しますか？

A7.

Intel®AMTの手動構成方法では、基本設定で

Intel®AMT

システムをプロビジョニングできますが、

インテル®マネジメント・エンジンBIOS拡張（Intel®MEBx）または構成済みのUSBキーを使用して起

動するには、デバイスへのローカルアクセスが必要です。Intel®MEBxのデフォルトパスワードが一度も

変更されていない場合は、システムに物理的にアクセスする権限のない人がIntel®AMTをIntel®MEBx

またはデフォルトのパスワードを使用してUSBキーにより手動でプロビジョニングされる恐れがありま

す。システムの製造元がシステムBIOSパスワードでIntel®MEBxメニューを保護するというインテルの

勧告に従っている場合は、この物理的な攻撃リスクは低減されます。

Q8. インテルは、手動構成による不正なIntel®AMTプロビジョニングの潜在的な脆弱性を軽減するため

にシステム製造業者にガイドラインを提供しましたか？

A8.

はい、インテルは2015年9月に、Intel®MEBxをシステムBIOSパスワードで保護するように、シス

テム製造元に推奨しています。また、システムメーカーがシステムBIOSオプションを提供して、USBプ

ロビジョニングを無効にし、デフォルトの値を無効に設定することも推奨しています

。

Q9. IDE-RやSerial over LANにセキュリティ上の脆弱性が存在しますか？

A9. 既存の

システム（AMT 5.x以前）では、TLSが無効の場合にのみSOL/IDERを実行する際にパスワー

ドが表示される恐れがあります。AMT 6.0およびそれ以降のバージョンでは、インテルは追加の認証方式

をサポートすることでこれらの機能をさらに堅牢化しています

。

Q10. HTTPダイジェスト認証方式にセキュリティ上の脆弱性が存在しますか？

A10.

HTTPダイジェスト認証には、ID形式としてユーザ名とパスワードが必要です。理論的には、HTTP

ダイジェスト認証中に交換される

Intel®AMT

資格情報を覗くことは可能です。この方式は安全性が低い

ので、大部分のお客様はKerberosベースの認証方式を使用しています。

Q11.

Intel®AMTのリモートプロビジョニングに関してセキュリティ上の脆弱性はありますか？

A11.

CAインフラストラクチャとドメインのハッキングに成功するためには、複雑な手順の一環で、不

正な証明書を購入してインストールする必要があります。証明書に加えて、不正なDHCPサーバを設定す

ることによってネットワークにアクセスする必要があり、リモートプロビジョニングタスクを実行するた

めにクライアントに対する管理者権限も必要になります。

Q12.

802.11に関連するワイヤレスIntel®AMTにセキュリティ上の脆弱性はありますか？

A12.

すべての802.11準拠製品（

Intel®AMT

および非AMT）には一般的なセキュリティ上の懸念があり

ます。インテルはAMT構成を実装しているため、オープンネットワークへの接続を防ぎ、PSKプロファイ

ルにパスワードポリシーを強制します。Intel®AMTの構成は、AMT認可ユーザのみがワイヤレスプロフ

ァイルを追加できます。さらに、安全なWLAN接続のために、802.1x認証と802.11i暗号化の両方がサ

ポートされています。

この文書の情報は、インテル製品と関連して提供されています。

本文書に明示されていない限り、黙示的、

禁反言的にかかわらず、本文書の規定が、知的財産権へのライセンスを付与するものと解釈されることは

ありません

。

そのような製品に対するインテルの販売規定に記載されている場合を除き、インテルはいか

なる責任も負いません。また、インテルは、特定の目的、商品性、特許、著作権、またはその他の知的財

産権の侵害に関連した責任または保証を含むインテル製品の販売および/または使用に関連する明示的ま

たは黙示的な保証を否認します。

インテルは、予告なしにいつでも仕様および製品の説明に変更を加える可能性があります。

規定されたすべての製品、日付、および数値は、現在の予想に基づく暫定的なものであり、予告なしに変

更されることがあります。

インテル、プロセッサー、チップセット、およびデスクトップボードには、製品が公表されている仕様か

ら逸脱する可能性のある設計上の不具合またはエラーが含まれている可能性があります。現時点で判明し

ている不具合の情報は要望に応じて入手可能です。

インテルのテクノロジーの特徴と利点は、システム構成に依存し、ハードウェア、ソフトウェア、サービスの 有効化が必要な場合があります。 パフォーマンスは、システム構成によって異なります。絶対に安全なコンピュータシステムはありません。シ ステムの製造元

または販売店に問い合わせるか、http://intel.comで詳細を確認してください。

一部の結果は、インテルの内部解析またはアーキテクチャのシミュレーションまたはモデリングを使用して推 定またはシミュレートされており、情報の目的、システムのハードウェア、ソフトウェア、構成の相違が実際 の性能に影響を与える可能性があります。 インテルおよびインテルのロゴは、Intel Corporationの米国およびその他の国における登録商標です。 著作権©Intel Corporation 2017