「コールドブート攻撃」への対策機能を無効化する手法が発見される 13
ストーリー by hylom
よく発見したなあ 部門より
よく発見したなあ 部門より
スリープ状態や再起動直後のマシンのメモリ(RAM)にアクセスしてメモリ内の情報を盗む「コールドブート攻撃」の危険性は以前より指摘されていた(2008年のITmedia記事)。そのため、最近のOSでは対策のための機能が導入されているのだが(Microsoftのドキュメント)、こういった対策機能を無力化する手法が見つかったという(CNET Japan、エフセキュアの発表、Security NEXT、TechCrunch)。
OSによる対策としてはスリープ前にメモリ内の情報を上書きするといったものがあるが、今回発見された手法はこの上書きプロセスを無効にするというもののようだ。これを悪用することで、たとえばメモリ内に保存されている暗号鍵を読み出し、それを使って暗号化されたストレージ内のデータを読み出すといったことが行える可能性がある。
この脆弱性はファームウェアの欠陥が原因で、ほぼすべてのノートPC/デスクトップPC、WindowsとmacOSの両方が影響を受けるという。すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。対策の1つとしてはPCをスリープさせず、シャットダウン/休止状態にし、Windowsの起動時・リストア時にWindowsの暗号化機能「Bitlocker」のPIN(暗証番号)を毎回入力させることが提案されている。