Windows 11のシステム要件「TPM 2.0」に脆弱性 ベンダー対処に遅れ目立つ

Bleeping ComputerはWindows 11のシステム要件の一部であるTPM 2.0の脆弱性に関する懸念を指摘した。広範囲に影響する脆弱性であるにもかかわらず、ベンダーの対応が遅い点を危惧している。

» 2023年03月07日 09時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Bleeping Computerは2023年3月4日(現地時間)、セキュリティモジュールTPM(Trusted Platform Module) 2.0で見つかった脆弱(ぜいじゃく)性について、各ベンダーの対応が追い付いていないと指摘した。

 同情報サイトは、これらの脆弱性について深刻度「重要」(High)に分類されているが、明確にアップデートを打ち出しているメーカーが少ないとして注意を呼びかけている。「Windows 11」ユーザーは同脆弱性に該当している可能性があるため、ベンダーからアップデート情報が出た場合には迅速に対処する必要がある。

Bleeping ComputerはTPM 2.0における脆弱性の対処状況について指摘した(出典:Bleeping ComputerのWebサイト)

TPM 2.0の脆弱性に対応したベンダーがまだ少ない問題

 TPM 2.0はOSのセキュリティを強化する複数の機能を提供するモジュールであり、Windows 11におけるシステム要件の一部となっている。そのため既にWindows 11を使用している場合、これに対応したハードウェアや仮想化プラットフォームを使っている可能性が高い。

 TPM 2.0の参照ライブラリ仕様にはバッファオーバーフローの脆弱性(CVE-2023-1017、CVE-2023-1018)が存在することが明らかになっており、これを悪用することで機密情報の窃取が可能になるとされている。

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年2月末に、当脆弱性に関する情報を発信しており、解決方法としてベンダーがサプライチェーンを通じて提供する更新プログラムを可能な限り迅速に適用することを推奨している。場合によってはTPMを工場出荷時のデフォルト値にリセットする必要があることも指摘している。

 Bleeping Computerは、既に当脆弱性はベンダーに広く通知されているが、影響を受けることを確認しているベンダーがLenovoなどほんの一握りであることに警戒感を強めている。アップデートが提供され次第、迅速に適用してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ