【Dell製129機種3000万台超に脆弱性】アップデートや無効化推奨
セキュリティ企業のEclypsiumは2021年6月24日、Dell製のパソコンやタブレットのシステムに脆弱性が見つかったと発表しました。悪用されると攻撃者にパソコンを制御される危険性があり、129種3000万台以上に影響が出る見込みです。Dellはセキュリティのアップデートのほか、更新が難しい場合に対象サービスの無効化を勧めています。
脆弱性とは
脆弱性とは、情報セキュリティ上の「弱点」や「ほころび」のことで、コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃されうる弱点となります。
Dell製品に見つかった4種類の脆弱性
今回、Eclypsiumが指摘した脆弱性はCVE-2021-21571~21574の4種類です。
いずれも、ほぼすべてのWindows系Dell製パソコンに最初からインストールされているサポートシステム「Dell SupportAssist」のなかで、OSのリカバリや、デバイスの更新に役立つ「BIOSConnect」に関係するものです。
Dell製の端末は、BIOSConnectのサービスを受ける場合、Dellのサーバーに接続し、BIOSConnectから証明書を受け入れます。攻撃者が今回の脆弱性を悪用すると、攻撃者に端末を制御されてしまう可能性があります。
Eclypsiumは対策が必要な端末が129種3000万台に上るとみています。
脆弱性への対策
今回見つかった脆弱性への対策の一つとして、Dellはサポートページ「Dell BIOSアップデート」で、動画付きでアップデート方法を紹介しています。
すぐにアップデートを利用できない人には、BIOSConnectとHTTPSブート機能を無効にする暫定的な緩和策をDellの「サポート技術情報文書」のページで紹介しています。
