Microsoft&AMD共同開発の新チップ「Microsoft Pluton」に関する懸念とは?
2020年、MicrosoftはPC保護のための新たなチップ「Microsoft Pluton」を発表しました。このチップはもともとXbox OneとAzure Sphere向けに開発されたもので、今後はすべてのWindows PCに組み込まれることになっていて、すでに共同開発したAMDのモバイル向けCPU・Ryzen 6000には搭載されています。しかし、発表から2年が経過してもどういうチップなのかはっきりとした情報が少なくバラバラに異なるうわさが出回っているということで、ソフトウェア開発者のガブリエル・ジーベン氏が情報をまとめています。
The dangers of Microsoft Pluton – Gabriel Sieben
https://gabrielsieben.tech/2022/07/25/the-power-of-microsoft-pluton-2/
Microsoft Plutonは2020年11月に発表された新型のセキュリティチップです。多くのPCにおいて、セキュリティの中核機能は半導体チップ・TPMにより実現されていますが、TPMはCPUから独立したチップなので、CPUとTPM間のバスインターフェイスを直接傍受するような手法を防ぐことはできませんでした。このため、PlutonはCPUやSoCに直接組み込む設計となっています。
MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表 - GIGAZINE
Microsoftが目指すのは、PCのセキュリティにおいてさらに多くの制御を行うことです。たとえばWindows 11では、TPM2.0や第8世代以降のCPU、セキュアブート機能が必須となっています。ジーベン氏によれば、これはPlutonを使用する以前から「Pluton的なもの」に慣れさせようとする動きで、Windows 12の必須要件に「Pluton搭載」が追加されても驚きはないとのこと。
MicrosoftがWindows 11で必須にしている「TPM」とは?なぜ必須なのか? - GIGAZINE
ジーベン氏によると、いざPlutonを使うとなった時に考えられる影響は以下のようなものだそうです。
1:UEFIファームウェアでMicrosoftサードパーティUEFI証明書が有効になっていない限り、Plutonを有効化した状態でLinuxをインストールすることができなくなる
2:Plutonが少なくともシステムファームウェアに関してWindows Updateに統合されるので、一部の形式のドライバーの更新ができるようになる一方で、ダウングレードが防がれる可能性がある
3:SHACK(セキュアハードウェア暗号化キー)を用いると、秘密鍵をファームウェアやソフトウェアにオープンにすることなく、ハードウェアに保存して素材を暗号化&復号できるようになり、強力なBitLockerやDRMを実現できる可能性がある
そしてジーベン氏は、DICE(デバイス識別子合成エンジン)とRIoT(堅牢なモノのインターネット)、SMM(システム管理モード)、測定の信頼の動的ルート(DRTM)が組み合わさることで、「デバイスがWindowsを実行しているか」「デバイスが最新か、あるいは最近更新されたか」「デバイスでセキュアブートが無効化または改変されていない」といった内容を検証できる可能性があり、Microsoftが主張する「マルウェアを防ぐためのファームウェアセキュリティデバイス」にとどまらず、ゲームでいえば容易にチートを防げるようになります。
しかも、DICEやRIoTはオープンスタンダードなので、どんな認証サービスでもPlutonを独自の目的で使用できるとのことで、ジーベン氏は「地獄への道は善意で舗装されている」と表現し、すでにゆでガエル状態になりつつあるのではないかと不安を表明しています。
・関連記事
MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表 - GIGAZINE
MicrosoftがPCにHDDではなくSSDを搭載するようメーカーに要求か、切り替え期限は2023年 - GIGAZINE
Microsoftが元AMD・Intel・Arm・AppleのベテランCPU設計者を雇用 - GIGAZINE
・関連コンテンツ