Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「スリープモードは脆弱」 - HDD暗号化済みPC内部へアクセス可能となる問題が判明

ハードディスク全体が暗号化されたパソコンより暗号化キーなどを抜き出し、内部のデータへアクセスが可能となるあらたな問題が判明した。端末へ物理的にアクセスできる攻撃者によって悪用されるおそれがある。

適切にシャットダウン処理を行わずに電源が切れた場合、RAM上の残存したデータからハードディスク全体の暗号化に用いるキーを取得できる「コールドブート攻撃」が2008年にセキュリティ研究者によって発表され、その後対策が講じられたが、同対策を回避する手法があらたに明らかとなったもの。

9月13日にスウェーデンで開催されたセキュリティカンファレンス「SEC-T」で発表を行ったF-Secureによれば、今回の問題は、ブートプロセスを制御するファームウェアが、物理的なアクセスに対して適切に保護されていないことに起因するという。

近年のパソコンでは、RAMの上書きによって「コールドブート攻撃」が防止されているが、端末のファームウェアを書き換えることで上書き処理を無効化し、再び「コールドブート攻撃」によるデータ窃取が可能になる。

物理的にアクセスできる環境であれば、攻撃が可能。ファームウェアを変更し、USBメモリから起動するだけで暗号化キーの窃取が完了すると説明しており、BIOSパスワードなどを設定している場合も回避する方法が存在し、対策として限界があるという。

20180918_fs_001.jpg
攻撃の流れ(画像:F-Secure)

(Security NEXT - 2018/09/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Apache Tomcat 9.0.24」が公開 - 「HTTP/2」向けに保護機能
「Apache HTTPD 2.4.41」がリリース - 「HTTP/2」関連など脆弱性6件を修正
「HTTP/2」の実装に複数脆弱性 - DoS攻撃手法が明らかに
「Bluetooth」に暗号化強度下げる「KNOB攻撃」が判明
スイッチ「Cisco Small Business 220」に複数の深刻な脆弱性
日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表
「Firefox」にマスターパスワード認証が回避されるおそれ - アップデートを実施
F5製「BIG-IP」、構成によっては侵害のおそれ - 利用企業は早急に確認を
Adobe CC関連アプリに脆弱性 - 一部「クリティカル」も
「Adobe Experience Manager」に深刻な脆弱性 - SAMLで認証回避のおそれ