Intel、Alder LakeのBIOSソースコードの流出を認める。犯人は未だ特定されず

先日、Intel Alder LakeのBIOSのソースコードが4ChanとGitHubに流出した。本件について、Intelは「当社独自のUEFIコードが流出したが、これが新たなセキュリティの脆弱性の露呈に繋がるとは考えていない」とし、「流出したコードはバグバウンティプログラムの対象であり、もし、潜在的な脆弱性を発見した場合は、プログラムを通じて私たちに連絡をしてほしい」と語った。

著名なセキュリティ研究者であるMark Ermolov氏は、流出したコードの解析に取り組んでいる。同氏の報告によると、MSR (Model Specific Registers)を発見したため、セキュリティ上の問題が発生する恐れがあるほか、Intel Boot Guardの秘密鍵も見つかったため、この機能を無効化される恐れがあるという。

しかし、ほとんどのマザーボードベンダーやOEMは、今回流出したコードと同様の情報を持っているため、影響があったとしても限定的なものだろう。

Intelは、どこの誰が、どういう経路でコードを流出させたのかをまだ特定していない。しかし、GitHubのリポジトリは、LenovoなどのOEMノートPCを製造しているLC Future Centerの従業員と見られる人物によって作成されたことがわかっている。さらに、流出したドキュメントの1つには『Lenovo Feature Tag Test Information』と記されており、流出との関連性を示している。