Intel ME・CSMEとは何か

最終更新日

2018/12/03 Intel MEI Driver (& Software)の部分を修正しました。

2019/05/22 Intel MEの脆弱性情報 追加。

2019/10/20 Intel MEの推奨バージョン 一部修正。脆弱性検出ツール情報 更新。

2019/11/14 Intel MEの脆弱性情報 追加。

Intel ME

Intel ME (Intel Management Engine)
Intel ベースのチップセットに組み込まれている、コンピュータ・サブシステム。
マザーボード上のマイクロコントローラ(小型・低消費電力)に収められている。
CPU・BIOS・OSから独立して動作する。必要に応じて相互に作用することも可能。
2006年、965 Expressチップセットから導入開始。2009年頃からは、Intel CPU対応のモバイル・デスクトップ製品のほぼすべてに搭載されている。
様々な機能を受け持つ。
Thermal Monitoring、Fan Control、Power Management、Integrated Clock Controller(ICC)、Boot Guard、Anti-Theft(AT) Protection、Capability Licensing Service(CLS)、Protected Audio Video Path(PAVP)、OC 等
システムが起動中・実行中・スリープ中のいずれでも、タスクの実行が可能。
企業向けの機能、Active Management Technology(AMT)、 Small Business Advantage(SBA)によるリモート管理のために、MEはout-of-band(OOB) network interfaceを使う。これは電源オフでも使用可能。

参照

  • What is IntelR Management Engine?

    https://www.intel.com/content/www/us/en/support/articles/000008927/software/chipset-software.html

  • Intel Management Engine - Wikipedia

    https://en.wikipedia.org/wiki/Intel_Management_Engine

  • Management Engine (ME) - Intel - WikiChip

    https://en.wikichip.org/wiki/intel/management_engine

  • Forum - Intel Management Engine: Drivers, Firmware & System Tools

    https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html

Intel ME 11を無効化する方法が公開される - GIGAZINE

https://gigazine.net/news/20170829-disable-intel-me-11/

MEの役割を考えると、無効化は難しいでしょう。

Intel CSME

Intel CSME (Intel Converged Security Management Engine)
Intel CSE ME (CSE=Converged Security Engine)
Intel 100シリーズ チップセット & 6th Generation Intel CPU (Skylake) 以降のIntel ME。
2015年のSkylake以降、他の機能と統合されたことにより、Intel MEはIntel CSMEとなった。
従来通り、Intel MEと呼ばれることが多い。

CSMEと表示されていれば、Skylake以降(Skylake・Kaby Lake・Coffee Lake 等) 用です。

Intel ME(CSME) Firmware、Driver、Software

以下、CSを省き、MEで統一します。

Firmware

Intel ME Firmware
BIOS Chipsに書き込まれている。(BIOS等と一緒に入っている)
書き換え可能。
更新には、ME Firmwareが含まれたBIOSファイルでBIOS updateするか、専用のソフトウェアを使用する。
削除はできない。
Firmwareとは別に、工場出荷前にROMに書き込まれるデータもあります。それについては、原則として書き換えできません。

Driver (& Software)

Intel MEI (Intel Management Engine Interface) Driver
Intel ME Driver
OSにインストールする。
インストール・アンインストールが可能。
Driverをアップデートする際に、Firmwareのアップデートも必要になることがある。
通常、配布されているインストーラには、MEI DriverとSOL Driver等がセットになっている。
Intel SOL(Serial Over LAN) Driver …リモート管理のために使用される。

ソフトウェア側からIntel CPUのオーバークロックを有効にしたり、HDDなどを暗号化する場合に必要になるそうです。

個人的経験では、ドライバをインストールしなくても、特に問題は発生していないようですが……。パフォーマンスへの影響は不明。

なお、有志の方が、MEI ドライバ単体(SOL Driver等を省いたもの)を配布してくれています。

Intel MEの脆弱性

Intel MEのFirmware・Driver・関連ソフトの過去バージョンに、脆弱性が存在します。

対策: 最新バージョンに更新

参照

Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

Intel (CS)MEの脆弱性診断ツール

マシンで使用している(CS)MEバージョンを検出するツールです。脆弱性の有無を表示してくれます。(Windows用/Linux用)

注意
[2019/11/14時点] リリース日が2019/09/04のため、2019/11/12発表のINTEL-SA-00241の内容を反映していない可能性があります。
Intel CSME Firmware 11.x 以降
Intel® Converged Security and Management Engine (Intel® CSME) Detection Tool
https://downloadcenter.intel.com/download/28632/Intel-CSME-Detection-Tool
Intel ME Firmware 6.x – 10.x
Intel® Converged Security and Management Engine (Intel® CSME) Detection Tool for Legacy Systems
https://downloadcenter.intel.com/en/download/29057

Intel ME Firmwareの脆弱性情報

2017年11月以降だけ挙げておきます。(それ前に発見された脆弱性も存在します)

  • INTEL-SA-00241 2019/11/12
    (Intel CSME、SPS、TXE、AMT、PTT、DAL)

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html

  • INTEL-SA-00213 2019/05/14
    (Intel CSME、AMT、SPS、TXE)

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html

  • INTEL-SA-00185 2019/03/12
    (Intel CSME、AMT、SPS、TXE、DAL)

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html

  • INTEL-SA-00131 2018/09/11
    (Power Management Controller)

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00131.html

  • INTEL-SA-00125 2018/09/11

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html

  • INTEL-SA-00118 2018/07/10

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00118.html

  • INTEL-SA-00086 2017/11/20

    https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html

上の情報から、CE(ME)バージョンだけを下の表にまとめました。

※ Intel チップセットの世代によって、使用できるバージョンが異なります。

※ 脆弱性のあるバージョン・推奨されるバージョンは、Consumer用とCorpotate用で異なることがあります。

Intel (CS)ME 推奨バージョン
脆弱性あり 推奨バージョン
7.x 以前 -
(Intelのサポート終了)
8.x 8.1.70.1590 以降 [Consumer 1.5M]
8.1.72.3002 以降 [Corpotate 5M]
9.x 9.1.42.3002 以降
9.5.61.3012 以降
10.x 10.0.56.3002 以降
11.0
~ 11.8.65
11.8.70 以降
11.10
~ 11.11.65
11.11.70 以降
11.20
~ 11.22.65
11.22.70 以降
12.0
~ 12.0.35
12.0.45 以降
13.0.0 13.0.10 以降
14.0.0 14.0.10 以降

(2019/11/12時点)

関連記事