2022年01月18日 08時00分 ハードウェア

Lenovoに搭載されているAMD CPUにベンダーロックが設定されているせいで中古市場が混乱している



コンピューターの起動プロセスへの攻撃が増加していることに対抗して、ハードウェアの防御層としてAMDが開発したのが「Platform Secure Boot(PSB)」機能です。この機能を一度でも利用した場合、CPUがベンダーロックインされてしまうという欠点があり、そうしたCPUが中古市場に混乱を起こしていると報告されています。



Lenovo Vendor Locking Ryzen-based Systems with AMD PSB

https://www.servethehome.com/lenovo-vendor-locking-ryzen-based-systems-with-amd-psb/



Anchoring Trust: A Hardware Secure Boot Story

https://blog.cloudflare.com/anchoring-trust-a-hardware-secure-boot-story/



AMD PSB vendor locking enabled by Default on Ryzen Pro desktops, seriously damaging the second hand market. : Amd

https://www.reddit.com/r/Amd/comments/rpuqj9/amd_psb_vendor_locking_enabled_by_default_on/



改ざんされたOSや、ハッキング用のOSを起動して機密情報を盗む攻撃を防止するために、高いセキュリティレベルが必要とされるコンピューターでは従来より「UEFIセキュアブート」という機能が利用されていました。この機能はシステムの電源をオンにした際に一番最初に実行されるUEFIファームウェアにトラストアンカーを設定し、以降のプロセスでは適切なデジタル署名が施されているかを検証することで起動プロセスへの攻撃を防止しますが、一方でUEFIそれ自体への攻撃には対応できないという欠点が存在しています。





そこで、ハードウェアの点から起動プロセスを保護するためにAMDが開発したのがPlatform Secure Boot(PSB)という機能です。この機能では、あらかじめAMDのCPUを設定しておくことで、UEFIの実行前に「ハードウェアメーカー純正のUEFIかどうか」を検証でき、不正なUEFIのロードを防止することが可能になるとのこと。この時の「CPUへの設定」では一回しか書き込めない「OTPヒューズ」型のメモリが利用されるため、一度「設定」を行ったCPUは他のメーカーの製品では利用できなくなってしまいます。



2020年ごろよりサーバー向けの製品でPSBが利用されるようになり、一見普通のCPUに見えるのに特定のメーカーのシステムでしか利用できないCPUが出回るようになったことが報告されています。そして2021年の末に、Lenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせにてデフォルトでPSBが有効になっていることが報告されました。



Lenovo製品に付属してきたAMD Ryzen Proが他のメーカーのシステムに移植できないだけでなく、新しいCPUに変更した際のセットアップにてよく読まずに「Y」を連打しているとCPUがLenovo製品にベンダーロックインされてしまうとのこと。下記の画面で「N」を押すことでCPUをベンダーロックイン状態にすることなくセットアップを行うことができます。





CPUがベンダーロックインされているかどうかは外観では判別が付かないため、中古のAMD Ryzen製品を購入する場合は注意が必要です。