現代のコンピューターの殆どが、たとえディスクが暗号化されていても、数分のうちに機密データを盗む新たな攻撃に対する脆弱性があることが、最新の研究によって明らかになった。
F-Secureが水曜日(米国時間9/12)に公表した新たな発見によると、同社がテストしたあらゆるノートパソコンで、ファームウェアのセキュリティー対策がデータ盗難を防ぐのに十分な働きをしたものは皆無だった。
F-Secureの主任セキュリティー・コンサルタント、Olle SegerdahlはTechCrunchに、この脆弱性は「ほぼすべての」ノートパソコンとデスクトップ——WindowsもMacも——のユーザーを危険に晒すと語った。
新たな攻撃は、長年ハッカーらがシャットダウンされたパソコンからデータを盗むために使っていたコールドブートアタックと呼ばれる伝統的手口に基づいている。現代のコンピューターは、電源が切断されるとき、データが読み出されないようにメモリーをランダムに上書きする。しかし、Segerdahlと同僚のPasi Saarinenはこの上書きプロセスを無効にして再びコールドブートアタックを可能にする方法を見つけだした。
「いくつか余分な手順が必要だが、この欠陥は容易に利用できる」」とSegerdahlは言う。あまりに簡単なので、もしこの技法がどこかのハッカーグループにまだ知られていなかったとすれば「大きな驚きだ」と彼は言った。
「パソコンのデータを盗む任務を課せられた者なら誰でも,すでに同じ結論に到達しているとわれわれは確信している」
パソコンを物理的にアクセスすることが可能なら、データを盗み出せる可能性が高くなることは誰もが知っている。だからこそ、こんなに多くの人たちがディスク暗号化を使って——WindowsならBitLocker、MacならFileVaultなど——デバイスの電源が切れているときのデータを守っている。
しかし研究者らは、ほぼすべてのケースで、BitLockerやFileVaultが保護していたにもからわらず、彼らはデータを盗むことができたと言っている。
研究者らは上書きプロセスのしくみを理解したあと、ファームウェアがメモリーから秘密を消し去るのを防ぐ方法の概念実証を行った。そこからはディスクの暗号化キーを探し、見つかれば保護されたボリュームをマウントするために使用する。
危険にさらされるのは暗号化ディスクだけではない、とSegerdahlは言う。成功したアタッカーは、「メモリー上で起きるあらゆるものごと」を盗むことができる。パスワードや企業のネットワークIDなど、盗まれればさらに深刻な被害につながりかねない。
彼らの発見は、公表される前にMicrosoftとAppleとIntelに伝えられた。研究者らによると、攻撃に耐えられれたのはごく僅かなデバイスだけだった。MicrosoftはBitLocker対策に関する最近更新された記事で、スタートアップPINコードを使うことでコールドブートアタックを緩和できると書いたが、Windows “Home” のユーザーは残念ながらそれができない。なお、T2チップを内蔵したApple Macは影響を受けないが、それでもファームウェアにパスワードをかけることで保護は強化される。
MicrosoftとAppleは両社ともこの問題を軽視していた。
アタッカーはデバイスを物理的にアクセスする必要があることを認め、Microsoftはユーザーに対して「デバイスへの物理的な不正アクセスを防ぐことも含め、適切なセキュリティー習慣を実践すく」ようユーザーに勧めると言っている。Appleは、T2チップをもたないMacを保護する手段を検討していると語った。
Inte にも問い合わせたが、公表できるコメントはないと言った。
いずれにせよ、研究者らによると、該当するコンピューターメーカーが既存デバイスを修正できる見込みはあまりない。
「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」
企業もユーザーも「各自で」行動する必要がある、とSegerdahlは言った。
「こういう出来事に備えておくことは、デバイスがハッカーによって物理的に損なわれることなどないと仮定するよりも、好ましい行動だ。そんな仮定が成り立たないことは明らかなのだから」
[原文へ]
(翻訳:Nob Takahashi / facebook )