「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある

現代のコンピューターの殆どが、たとえディスクが暗号化されていても、数分のうちに機密データを盗む新たな攻撃に対する脆弱性があることが、最新の研究によって明らかになった。

F-Secureが水曜日(米国時間9/12)に公表した新たな発見によると、同社がテストしたあらゆるノートパソコンで、ファームウェアのセキュリティー対策がデータ盗難を防ぐのに十分な働きをしたものは皆無だった。

F-Secureの主任セキュリティー・コンサルタント、Olle SegerdahlはTechCrunchに、この脆弱性は「ほぼすべての」ノートパソコンとデスクトップ——WindowsもMacも——のユーザーを危険に晒すと語った。

新たな攻撃は、長年ハッカーらがシャットダウンされたパソコンからデータを盗むために使っていたコールドブートアタックと呼ばれる伝統的手口に基づいている。現代のコンピューターは、電源が切断されるとき、データが読み出されないようにメモリーをランダムに上書きする。しかし、Segerdahlと同僚のPasi Saarinenはこの上書きプロセスを無効にして再びコールドブートアタックを可能にする方法を見つけだした。

「いくつか余分な手順が必要だが、この欠陥は容易に利用できる」」とSegerdahlは言う。あまりに簡単なので、もしこの技法がどこかのハッカーグループにまだ知られていなかったとすれば「大きな驚きだ」と彼は言った。

「パソコンのデータを盗む任務を課せられた者なら誰でも,すでに同じ結論に到達しているとわれわれは確信している」

パソコンを物理的にアクセスすることが可能なら、データを盗み出せる可能性が高くなることは誰もが知っている。だからこそ、こんなに多くの人たちがディスク暗号化を使って——WindowsならBitLocker、MacならFileVaultなど——デバイスの電源が切れているときのデータを守っている。

しかし研究者らは、ほぼすべてのケースで、BitLockerやFileVaultが保護していたにもからわらず、彼らはデータを盗むことができたと言っている。

研究者らは上書きプロセスのしくみを理解したあと、ファームウェアがメモリーから秘密を消し去るのを防ぐ方法の概念実証を行った。そこからはディスクの暗号化キーを探し、見つかれば保護されたボリュームをマウントするために使用する。

危険にさらされるのは暗号化ディスクだけではない、とSegerdahlは言う。成功したアタッカーは、「メモリー上で起きるあらゆるものごと」を盗むことができる。パスワードや企業のネットワークIDなど、盗まれればさらに深刻な被害につながりかねない。

彼らの発見は、公表される前にMicrosoftとAppleとIntelに伝えられた。研究者らによると、攻撃に耐えられれたのはごく僅かなデバイスだけだった。MicrosoftはBitLocker対策に関する最近更新された記事で、スタートアップPINコードを使うことでコールドブートアタックを緩和できると書いたが、Windows “Home” のユーザーは残念ながらそれができない。なお、T2チップを内蔵したApple Macは影響を受けないが、それでもファームウェアにパスワードをかけることで保護は強化される。

MicrosoftとAppleは両社ともこの問題を軽視していた。

アタッカーはデバイスを物理的にアクセスする必要があることを認め、Microsoftはユーザーに対して「デバイスへの物理的な不正アクセスを防ぐことも含め、適切なセキュリティー習慣を実践すく」ようユーザーに勧めると言っている。Appleは、T2チップをもたないMacを保護する手段を検討していると語った。

Inte にも問い合わせたが、公表できるコメントはないと言った。

いずれにせよ、研究者らによると、該当するコンピューターメーカーが既存デバイスを修正できる見込みはあまりない。

「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」

企業もユーザーも「各自で」行動する必要がある、とSegerdahlは言った。

「こういう出来事に備えておくことは、デバイスがハッカーによって物理的に損なわれることなどないと仮定するよりも、好ましい行動だ。そんな仮定が成り立たないことは明らかなのだから」

[原文へ]

(翻訳:Nob Takahashi / facebook