「コールドブート攻撃」への対策機能を無効化する手法が発見される

「コールドブート攻撃」への対策機能を無効化する手法が発見される 13

ストーリー by hylom 2018年09月19日 18時22分
よく発見したなあ部門より

スリープ状態や再起動直後のマシンのメモリ（RAM）にアクセスしてメモリ内の情報を盗む「コールドブート攻撃」の危険性は以前より指摘されていた（2008年のITmedia記事）。そのため、最近のOSでは対策のための機能が導入されているのだが（Microsoftのドキュメント）、こういった対策機能を無力化する手法が見つかったという（CNET Japan、エフセキュアの発表、Security NEXT、TechCrunch）。

OSによる対策としてはスリープ前にメモリ内の情報を上書きするといったものがあるが、今回発見された手法はこの上書きプロセスを無効にするというもののようだ。これを悪用することで、たとえばメモリ内に保存されている暗号鍵を読み出し、それを使って暗号化されたストレージ内のデータを読み出すといったことが行える可能性がある。

この脆弱性はファームウェアの欠陥が原因で、ほぼすべてのノートPC/デスクトップPC、WindowsとmacOSの両方が影響を受けるという。すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。対策の1つとしてはPCをスリープさせず、シャットダウン/休止状態にし、Windowsの起動時・リストア時にWindowsの暗号化機能「Bitlocker」のPIN（暗証番号）を毎回入力させることが提案されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索13コメント Log In/Create an Account

めんどくさい (スコア:0)

by Anonymous Coward on 2018年09月19日 18時52分 (#3483382)

めんどくさいことさせんな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そうだよね。
  外出するたびに玄関に鍵かけるとか、面倒くさいよね。
これは個人ユーザーには直接影響無いと思うが (スコア:0)

by Anonymous Coward on 2018年09月19日 18時55分 (#3483384)

名前だけしか知らなかったBitlockerとTPMについて少し分かったのでサンキュー
死後にパソコンの中身を遺族に見られたくないWindows使いの方は全ドライブをBitlockerで暗号化して
TPM＋PINコード＋スタートアップキーで認証するように設定すればまず大丈夫だね
仕事で使ってる人も盗難or忘れ物or落し物対策としてもいいね
- Re:これは個人ユーザーには直接影響無いと思うが (スコア:1)
  
  by Anonymous Coward on 2018年09月19日 19時08分 (#3483393)
  
  シャットダウン派のおれ大勝利
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    スワップファイルは大丈夫か?
    # システムの重要データはスワップアウトされないだろうけど
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      全ドライブをBitlockerで暗号化してればページファイルのたぐいも暗号化されるのでは？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  でも、いつのまにか、フラッシュメモリのどこかに生鍵がのこっちゃってて、物好きが吸出しちゃう
今の所物理的アクセス必須らしい (スコア:0)

by Anonymous Coward on 2018年09月19日 20時45分 (#3483446)

ネットワーク（というかNIC）経由で攻撃可能になるとOS権限ガン無視になって危なそうだけど、今の所大丈夫かな？
素人の疑問点 (スコア:0)

by Anonymous Coward on 2018年09月19日 22時06分 (#3483497)

> ほぼすべてのノートPC/デスクトップPC
こういう案件で、ノートPC/デスクトップPC（ついでにブレードPCとタブレットPC）で違いがあるものだろうか？
> この脆弱性はファームウェアの欠陥が原因で（中略）すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。
この中でファームウェア≒BIOSを作っているのって、Appleぐらいじゃ？
と思ったら、最近のUEFI BIOSを管理するUnified EFI Forum（一応、AMIやPhoenixやIBMやレノボやHP＝旧Compaqも参加しているらしい）は、Intelの主導下にあるらしい。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  TechCrunchの記事によれば、発見者がこう発言したそうで。
  「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。
  「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」
  それならなんで報告したんだ。さっさとファームウェアメーカーに報告しろよ。って思った。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ユーザーにはスリープを使わないという簡単(だが面倒)な対策があるからじゃない？
    あとファームウェアメーカーは腰が重いので、有力大手企業からプレッシャーを与えてもらいたいというのもあるかも。
    #AMDは？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Microsoftにできること
    スリープ機能削除
    skylake+SSD機ではスリープ使ってないけど起動も速いし困ってないな
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      スマホのロックを画面OFFから何秒で掛けるべきかの話に近いような気がするなぁ…
      そもそもスリープ状態の端末が攻撃者の手に渡るって時点で物理的にはメモリ内容残ってるわけで、
      画面OFFしてロック掛かる前のスマホを攻撃者に手渡してるようなものだから完全な防御は不可能にも思える。
      最悪そのままモジュール活線挿抜だし全メモリ暗号化＆耐タンパー自壊機能搭載でもしなきゃどうにもならんがアクセスコストや耐障害性で地獄になるか…
      とりま、スリープ時にもキーを消して復帰時にPinを求めるとかすれば、ストレージの暗号化鍵は保護できるんじゃね。
      「最速復帰のスリープ利用は端末防衛が可能な時間内に抑えて、他ではキーが消去・保護されるステートに落とす」
      って運用で対処するしかないし、スマホのロックと同じで利便性とのトレードオフだから最後は結局ユーザに投げる事になりそう。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「コールドブート攻撃」への対策機能を無効化する手法が発見される 13

「コールドブート攻撃」への対策機能を無効化する手法が発見される More ログイン

めんどくさい (スコア:0)

Re: (スコア:0)

これは個人ユーザーには直接影響無いと思うが (スコア:0)

Re:これは個人ユーザーには直接影響無いと思うが (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

今の所物理的アクセス必須らしい (スコア:0)

素人の疑問点 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド