Mac、最新のアップデート適用でもファームウェア更新されないことも

AppleはMacのOS/セキュリティアップデートにEFIファームウェアのアップデートを含めているが、最新のアップデートを適用していてもEFIが最新版になっていないことがあるという調査結果をDuo SecurityのDuo Labsが発表した(Duo Labsのブログ記事、ホワイトペーパー: PDF、Mac Rumorsの記事、Ars Technicaの記事)。

Duo LabsではOS X 10.10からmacOS 10.12.6までの各バージョンで、同梱されているEFIファームウェアと対象モデル、OSバージョン/ビルドのリストを作成。企業で使われている73,324台のMacを対象にOSバージョン/ビルドとファームウェアバージョンを調査している。ファームウェアの問題はMacに限らないが、MacではAppleがハードウェアからファームウェア、OSまでをコントロールしていることからMacエコシステムを調査対象にしたそうだ。

調査した73,324台中、OS X 10.10～macOS 10.12.6を実行していたのは65,853台であり、うち4.2%以上がOSバージョンから想定されるバージョンよりも古いEFIファームウェアを使用していたという。中でも古いEFIファームウェアの比率が最も高かったのはiMac16,2(Retina 4K、21.5-inch、Late 2015)の43%で、2016年モデルのMacBook Pro全機種(MacBookPro13,1～3)が35%～25%で続く。機種によってはOSバージョンにかかわらず1度もEFIファームウェアのアップデートが提供されていないものもあるとのこと。
OSバージョン別の古いEFIファームウェア比率はmacOS 10.12 Sierraが最も高い平均9.5%で、OS X 10.11 El Capitanが平均3.4%、OS X 10.10 Yosemiteが平均2.1%となっている。最新のパッチが適用された状態でも古いバージョンのOSには最新のEFIファームウェアが提供されないものが大半で、「ソフトウェアはセキュアだがファームウェアは脆弱」という状況になっているという。

Duo Labsでは可能であればOSを最新バージョンに更新することを推奨しているが、最新版のEFIファームウェアが確実にインストールされるとは限らない。Appleはこの問題を受け、週に1回EFIファームウェアを確認する機能をmacOS High Sierraに搭載したそうだ。

　スラドのコメントを読む | アップルセクション | セキュリティ | ソフトウェア | MacOSX

　関連ストーリー：
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
Windowsマシンのセキュアブートを無効化できるセキュアブートポリシーが流出、解析結果が公開される 2016年08月14日
ファームウェアを狙うマルウェア、攻撃者にとっての利点は 2015年03月24日
Mac OS X Mountain Lion、初期の64ビット対応Macをサポートせず 2012年07月14日