マイクロソフトがBitLockerのパスワード漏洩問題を軽視

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-09-03 08:27

 MicrosoftはBitLockerのパスワード漏洩問題の重大性を軽視しているようだ。BitLockerはWindows Vistaに組み込まれているディスク全体を暗号化する機能で、Microsoftはこの問題の現実的な攻撃シナリオは「非常に考えにくい」と主張している。

 iViZの勧告によれば、Microsoft Bitlockerのパスワード検証ルーチンはパスワードを読み取った後BIOSのキーボードバッファをクリアしておらず、平文のパスワードを特権を持たないローカルユーザーに漏洩してしまう。

 技術的な詳細は以下の通りだ。

 BitLockerの起動前認証ルーチンは、キーボードからのユーザーの入力を読み取るのにBIOS APIを使っている。BIOSは内部的にキー入力の値をBIOS Data AreaのBIOS Keyboardバッファと呼ばれるRAM構造体にコピーする。このバッファは使われた後クリアされないため、攻撃者が物理メモリアドレス0×40:0×1eのパスワードを読むことができれば、OSが完全に起動した後に、平文のパスワードが漏洩する可能性がある。

 MicrosoftのBll Sisk氏のこれに対する応答は次の通りだ。

 われわれは、同研究者のBitLockerに関するプレゼンテーションで詳述された主張は正しいと認識している。この理論的な攻撃が可能なのは特定の状況下のみであり、可能ではあるものの、非常に考えにくい。

 あらゆるフルボリューム暗号化製品と同じように、システムが実行中に使われているドライブのデータを暗号化・復号化するために、BitLockerはメモリ内に鍵を保持している。システムがスリープモードになった場合でも、実行されている状態にある。

 このセキュリティ問題は、Windows Vista Service Pack 1では修正されていると報じられている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 62 選 課題と解決方法を一挙紹介

  2. セキュリティ

    新入社員に教えるべき情報セキュリティの基礎知識--企業全体を守るための基本ルールを徹底解説

  3. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  4. セキュリティ

    【マンガで解説】なぜ中小企業でも最新のセキュリティ対策を強化しなければいけないのか?

  5. ビジネスアプリケーション

    調査結果が示す、通信業界の「生成 AI 活用」インパクト--成果を達成する 4 つのユースケース

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]