多くの人は、ノートPCで完全なディスク暗号化を施していれば、たとえそのパソコンが犯罪者の手に渡ったとしても、保管されている情報の安全は保たれると考えています。しかし、2か月程前に、エフセキュアの2人のセキュリティコンサルタントが、コールドブート攻撃を受けてしまう、最新のコンピュータの欠陥を明らかにしたときに、CISO、PCベンダー、セキュリティコミュニティは背筋が寒くなる恐怖を感じざるを得ませんでした。
エフセキュアのOlle Segerdahl(オーラ・シーゲルダール)(英語)とPasi Saarinen(パシ・サーリネン)は、スウェーデンのSEC-Tのライブデモンストレーションでこの欠陥を突いて攻撃して見せています。
このブログ記事(英語)を読むか、このポッドキャスト(英語)を聞けば詳細を知ることができますが、要点は、OlleとPasiによるとスリープ状態のコンピュータを安全な状態であると扱われるべきではないということです。
「スリープモードは脆弱モード」これが、Olleからのアドバイスです。
コンピュータがスリープ状態になると、情報はランダムアクセスメモリ(RAM)に留まりますが、これには暗号化キーのような機密情報も含まれています。コールドブート攻撃が成功すると、攻撃者はスリープ状態のコンピュータからこの情報を抽出することができます。
一旦、攻撃者が暗号化キーを取得してしまえば、デバイスに侵入するのは時間の問題です。また、多くの組織では、アカウント資格情報などの情報を危険にさらし、攻撃者に所謂王国の鍵を与えることになります。
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@nxs.se (@nxsolle) September 4, 2018
OlleとPasiによれば、最善の防衛策は、プリブート認証(オペレーティングシステムがロードされる前にデバイスのハードドライブを復号化するためのパスワードまたはPINを入力する)を必須とするようにデバイスを設定したうえで、PCを使用しないときには完全に電源を落とすことです。企業は、このアドバイスを実践して、PCを一定期間使用しないと休止状態になるようにするとともに、デバイスの起動時にプリブートパスワードかPINを入力させるように設定する必要があります。マイクロソフトでは、この問題に関する最新のガイダンス(英語)を提供しています。
世界で休止状態のPCがある場所はどこか?
慌ててOlleのアドバイスに従おうとする前にいくつかの注意点があります。まず、
Windows10のホームエディションにはBitlocker PINを設定するオプションがありません。ハッカーが、ホームエディションのノートPCを物理的に盗んでデータを窃取する可能性があると思う人は、Windows 10 Proにアップグレードしてください。
しかし、主な関心事は、組織がどうすればこの攻撃からノートPCを保護できるかということです。
Olleはサイバーセキュリティサウナ(英語)のホストであるJanne Kauhanen(ヤンネ・カウハネン)(英語)に次のように語っています。「実際には、IT部門がこの問題を認識している必要があり、企業には、ユーザに対して、マシンを起動するために別のパスワードを覚える必要があるという不便さを強いる覚悟が要ります。このような理由から、ユーザにとっては不便であり、IT部門には実際にデバイスの積極的な管理が求められるため、言い方を変えると、セキュリティ要件の高い企業環境でのみ実践されるでしょう。」
エフセキュアのセキュリティアドバイザーであるSean Sullivan(ショーン・サリバン)(英語)は、企業がエフセキュアの例に従って、休止状態をシャットダウンオプションとして含めるようにノートPCを設定すれば、従業員はこのオプションが使えることが分かると考えています。これを行う方法に関する情報は、MicrosoftのWebサイト(英語)で入手することができます。
「休止状態は、実際にはWindows 10のシャットダウンメニューのデフォルトオプションではありません。パワーユーザはその使い方を理解するかもしれませんが、PCを持ち歩く平均的な会社員が理解できるかは疑わしいです。」とSeanは述べています。「Olleの調査により、当社のCISOオフィスと、IT部門のノートPCのデフォルト電源設定が検査され、改善されるようになりました。それは多くの不便を引き起こすことなく、より良いセキュリティ衛生に貢献することができる些細であっても積極的な変更と言えます。したがって、他の企業も自社のノートPCを同様に変更することをお勧めします。特に仕事用のコンピュータを持って頻繁に移動する従業員を抱えている組織にはお勧めです。」
また、Olleは、紛失/盗難に対処するためのインシデント対応計画を策定し、ノートPCを物理的に安全に保つ方法を従業員に啓蒙することを推奨しています(物理攻撃からノートPCを保護する方法の詳細については、エフセキュアの「メイド攻撃に関するガイド」(英語)を参照してください。
