分析Intel は、第 6 世代 Core プロセッサに多要素認証防御を組み込みました。
カリフォルニア州の半導体大手は火曜日、このニュースを世界に発表し、非常に大きな秘密を明かしたようだ。9月に発売された第6世代Coreファミリーには、これまで全く新しい多要素認証サポートが搭載されていたのに、誰も知らなかったのか?とんでもない話だ。
しかし、この技術は、Intel が長年かけて開発してきたさまざまなセキュリティ メカニズムの拡張版であると思われます。
Intel Authenticateと呼ばれるこの多要素認証は、パスワードを部分的に廃止することを目指しており、大企業から中小企業まで幅広い企業を対象としています。チップセットのファームウェア層には、ハッカーから安全に保護されるはずのポリシーと認証データが保存されています。
認証データとしては、例えばユーザーの指紋やPINなどが考えられます。例えば、職場で支給されたスマートフォンがマシンのすぐ近くにある場合、正しいPINを入力するだけでデバイスにログインできるというポリシーを設定できます。また、マシンが企業ネットワークに接続されていない場合は、範囲内にあるスマートフォン、有効なPIN、そして内蔵センサーから読み取った有効な指紋があればコンピュータのロックを解除できるというポリシーを追加することも可能です。
つまり、オフィスでノートパソコンを会社のWi-Fiに接続し、スマートフォンをデスクトップパソコンのBluetooth範囲内に置いている場合は、PINコードを入力するだけでPCに再度ログインできます。週末にカフェにいる場合は、窃盗犯ではないことを確認するために指紋認証が必要になります。
「Intel Authenticateは、プラットフォームアーキテクチャのハードウェアに多要素認証を組み込んでいます」と、Intelのクライアントコンピューティンググループの副社長、トーマス・ギャリソン氏は語った。
これにより、ウイルスやマルウェアを介してユーザーの認証情報を盗む、最も一般的なソフトウェアベースの攻撃が無効化されます。インテルは、安全なPIN、AndroidまたはiPhoneとのBluetooth近接認証、vProシステムによる論理的な位置情報認証、そして指紋認証を提供します。
オペレーティングシステム(Windows 7、8、10はIntel Authenticateをサポート)は、ログインを許可するかどうかの確認を得るためにファームウェアと通信する必要があります。OSは指紋やPINコードを参照できないため、カーネル内やユーザー空間で実行されるコードによって盗まれることはありません。
携帯電話を紛失したなど、ログインできない場合は、オプションでパスワード入力に切り替えることができます。これは、複雑なパスワードを覚えるのが苦手な従業員や、毎日パスワードリセットを行うITサポートデスクの担当者にとって役立つはずです。
ボンネットの下
Intel Authenticateは、セキュリティ研究者やプライバシー活動家にとって不安材料となる2つのファームウェアレベルのシステム、Intel Management Engine(ME)とIntel Active Management Technology(AMT)を採用しています。どちらも長年存在し、オペレーティングシステムの下位層で動作し、上位のソフトウェア層からはほとんど認識されません。システム管理者がマシンをリモート制御できるようにすることを目的としていますが、他にも機能があります。例えば、AMTはIntel Authenticateが使用するネットワーク位置情報検出機能を提供します。
マザーボードのチップセットに内蔵されたマネジメントエンジンは、ポリシーとユーザー認証データを保存するセキュアメモリ領域を提供します。これらのデータは、適切な権限を持たない限り、セキュア領域から外部への持ち出しや改ざんが禁止されています。これにより、悪意のある人物による緩いポリシーの設定やログイン情報の盗用を阻止できるはずです。
Intel Authenticateを有効にするにはファームウェアのダウンロードが必要なのはそのためです。このソフトウェアは、Intelの新しい第6世代Core CPU(Skylakeファミリー)のvProエディションでのみ動作します。Skylake vProパーツは今週発表されました。
このシステム全体は、2011 年の Sandy Bridge vPro パーツや 2015 年の Broadwell vPro ファミリーなど、Chipzilla のビジネス向けチップで以前に見られた 2 要素認証方式の繰り返しのようです。当時は Intel Identity Protection として知られており、ユーザー名、パスワード、ハードウェア トークン、またはユーザー名、パスワード、スマートフォンに送信されるワンタイム コードを使用したログインなどの 2 要素認証をサポートしていました。
インテルはBluetoothと指紋リーダーのサポートを追加し、ユーザーフレンドリーな仕様にし、PINコードも導入しました。これでvProシリーズに関する1年の間隔を置いた2つのプレスリリースが、これほど似ている理由が説明できるかもしれません。
Intel Authenticateの中核を成すMEや、そのメカニズムをバイパスするオペレーティングシステムが侵害されないことを祈るばかりです。Authenticateはハッカーからの完全な保護というよりは、IT管理者のためのツールです。
Intel Authenticateは現在プレビューモードです。お客様はIntelにご連絡いただければ、ご利用に必要なミドルウェアとファームウェアのインストール手順についてサポートを受けることができます。Intelのビジネスクライアントマーケティングディレクターであるチャド・コンスタント氏は、El Regに対し、この試用期間の終了時期は未定であるものの、Intelの技術プレビューは通常4~6か月続くと述べました。®
PS:ネットワーク上の誰かがファームウェアのダウンロードを乗っ取り、システムに悪意のあるコードを挿入する前に、Intel ドライバー アップデート ユーティリティを更新する必要があります。
