画像: Gordon Mah Ung/Foundry
MSIのノートパソコンやマザーボードのドライバーをダウンロードする必要があるときは、必ず正規のソースから直接入手するようにしてください。これはどんなソフトウェアアップデートにも当てはまるアドバイスですが、特に先月ハッカーが膨大な機密データを盗んだ事件を受けて、より一層重要になっています。報道によると、MSIは身代金の支払いを拒否したため、秘密のソフトウェアキーが先週ダークウェブに投稿されました。
ここでの危険性は、ハッカーがMSIデバイスのファームウェアをダウンロードし、マルウェアやスパイウェアを組み込むように改変し、MSIの公式キーで署名することで、通常の真正性チェックをすり抜けてしまうことです。また、標準的なウイルス対策ソフトによる検出も大幅に困難になりますが、漏洩したキーを特定し、既存のデータベースと照合する方法は存在します。セキュリティ企業Binarly(PC Mag経由)によると、公開されたファイルは、Creator、Crosshair、Katana、Modern、Prestige、Pulse、Raider、Stealth、Summit、Sword、Vectorシリーズのノートパソコンを含む、57種類のMSI製品に影響を及ぼします。
しかし、それだけではありません。漏洩したデータには、UEFIセキュアブートの一部であるIntel独自のブートガードシステムのキーも含まれています。これらのキーは、Lenovoのような業界大手を含む複数のベンダーの幅広いハードウェアに適用されます。Binarlyによると、これらのキーはさらに166製品に影響を及ぼします。
控えめに言っても、これはひどい状況だ。MSIがハッカーへの身代金支払いを拒否したのは理解できるし、称賛に値する。ハッカーに屈服してもデータの安全は保証されず、さらなる犯罪行為を助長するだけだからだ。しかし、クラックされたファームウェアがどこかに現れ、検索エンジンがそのページをクロールしてMSIの公式ダウンロードページよりも上位に表示させるのは、もはやほぼ避けられない。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
