編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

マイクロソフトがBitLockerのパスワード漏洩問題を軽視

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-09-03 08:27

 MicrosoftはBitLockerのパスワード漏洩問題の重大性を軽視しているようだ。BitLockerはWindows Vistaに組み込まれているディスク全体を暗号化する機能で、Microsoftはこの問題の現実的な攻撃シナリオは「非常に考えにくい」と主張している。

 iViZの勧告によれば、Microsoft Bitlockerのパスワード検証ルーチンはパスワードを読み取った後BIOSのキーボードバッファをクリアしておらず、平文のパスワードを特権を持たないローカルユーザーに漏洩してしまう。

 技術的な詳細は以下の通りだ。

 BitLockerの起動前認証ルーチンは、キーボードからのユーザーの入力を読み取るのにBIOS APIを使っている。BIOSは内部的にキー入力の値をBIOS Data AreaのBIOS Keyboardバッファと呼ばれるRAM構造体にコピーする。このバッファは使われた後クリアされないため、攻撃者が物理メモリアドレス0×40:0×1eのパスワードを読むことができれば、OSが完全に起動した後に、平文のパスワードが漏洩する可能性がある。

 MicrosoftのBll Sisk氏のこれに対する応答は次の通りだ。

 われわれは、同研究者のBitLockerに関するプレゼンテーションで詳述された主張は正しいと認識している。この理論的な攻撃が可能なのは特定の状況下のみであり、可能ではあるものの、非常に考えにくい。

 あらゆるフルボリューム暗号化製品と同じように、システムが実行中に使われているドライブのデータを暗号化・復号化するために、BitLockerはメモリ内に鍵を保持している。システムがスリープモードになった場合でも、実行されている状態にある。

 このセキュリティ問題は、Windows Vista Service Pack 1では修正されていると報じられている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]