編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

マイクロソフトがBitLockerのパスワード漏洩問題を軽視

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-09-03 08:27

 MicrosoftはBitLockerのパスワード漏洩問題の重大性を軽視しているようだ。BitLockerはWindows Vistaに組み込まれているディスク全体を暗号化する機能で、Microsoftはこの問題の現実的な攻撃シナリオは「非常に考えにくい」と主張している。

 iViZの勧告によれば、Microsoft Bitlockerのパスワード検証ルーチンはパスワードを読み取った後BIOSのキーボードバッファをクリアしておらず、平文のパスワードを特権を持たないローカルユーザーに漏洩してしまう。

 技術的な詳細は以下の通りだ。

 BitLockerの起動前認証ルーチンは、キーボードからのユーザーの入力を読み取るのにBIOS APIを使っている。BIOSは内部的にキー入力の値をBIOS Data AreaのBIOS Keyboardバッファと呼ばれるRAM構造体にコピーする。このバッファは使われた後クリアされないため、攻撃者が物理メモリアドレス0×40:0×1eのパスワードを読むことができれば、OSが完全に起動した後に、平文のパスワードが漏洩する可能性がある。

 MicrosoftのBll Sisk氏のこれに対する応答は次の通りだ。

 われわれは、同研究者のBitLockerに関するプレゼンテーションで詳述された主張は正しいと認識している。この理論的な攻撃が可能なのは特定の状況下のみであり、可能ではあるものの、非常に考えにくい。

 あらゆるフルボリューム暗号化製品と同じように、システムが実行中に使われているドライブのデータを暗号化・復号化するために、BitLockerはメモリ内に鍵を保持している。システムがスリープモードになった場合でも、実行されている状態にある。

 このセキュリティ問題は、Windows Vista Service Pack 1では修正されていると報じられている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]