スワップファイルとも呼ばれます。Windows はこの(通常ハードディスクに置かれる)ファイルを、メモリに入りきらないプログラムやデータファイルを保持するために使います。ということは、メモリ上だけにあると信じている機密データが実際には知らないうちに Windows によって暗号化もされずにディスクに書かれているということです。
Windows を含むほとんどの OS でデバッグ情報の取得やエラー発生時(システムクラッシュ、ブルースクリーン、バグチェック)のシステムメモリの内容の取得(メモリーダンプ)が可能です。このメモリーダンプファイルには機密データを含んでいるかもしれません。TrueCrypt は記憶したパスワード、暗号化キーや RAM に展開された機密ファイルの内容が暗号化されていない状態でメモリーダンプファイルに書き出されることを防ぐことはできません。
仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:5, 参考になる)
とあることから、当該容疑者の TrueCrypt の使い方に問題があることが見受けられます。きちんと TrueCrypt を使っている人は、暗号化ドライブをマウントしたまま席を離れることは決してありません。トイレに行くときもアンマウントします。また、「すべて強制アンマウント」のショートカットキーを設定しているはずなので、窓ガラスを割って警察官が侵入してきたとしても、コンマ何秒かでアンマウントが完了するはずです。
出版社のサーバーにサイバー攻撃を仕掛けて乗っ取った17歳少年が逮捕される [it.srad.jp]事件では、窓から侵入してきた警察官にマウント中のパソコンをとられてしまった [hatenablog.com]らしいですが、こんなのは間抜け中の間抜け。日本の警察官をあまりにも馬鹿にしていたせいか基本的な対策が厳かになっていたのが敗因といえます。
ということで、この容疑者は TrueCrypt の使い方の基本を理解できていないようなので、ひょっとして仮想メモリ(OSのスワップ機能)を有効のままにしていたりとか、TrueCrypt でドライブをマウントしたまま休止モードを使ってしまったことが1回以上あったりとか、OSのメモリーダンブ機能を無効にしてなかったりとかするのでは? もしそうであれば「容疑者から押収したハードディスクに保存されていたTrueCryptの隠しボリュームをFBIが復号」できたのは必然といえます。左記のような行為をしてしまったら、復号キーがHDDに残ってしまうので、HDDを解析したら復号キーが取り出されてしまう恐れがあるからです。
ちょっと古い情報なので、最近のバージョンでは多少変わっている部分があるかもしれませんが、TRUECRYPT USER'S GUIDE [ipa.go.jp]より引用します(強調と段落替えの変更、HTMLタグによるマークアップは引用者が行ったので気になる方は原文をご覧下さい)。
TrueCrypt使うやつはシロウト (スコア:3, おもしろおかしい)
Torもそうだけど、そんなものを使っている時点で悪いことしてますと白状しているようなもの。
安全だと主張する連中はビットが云々と言うが総当たりや裏口でいつかは解読される。
プロはあえて暗号化をしない。
Excelにデータ入力しているように見せかけて実はtwitterへの投稿だったり、
重要な情報はエクセル方眼紙にさりげなく埋め込んでいる。
ほかの文書と一緒に「こちらもご覧になりますか」とでも
水を向ければ向こうから諦めてくれる。
動画のような大きなデータも「税関書類.xlsx」とでもリネームしておけば誰も関心を示さない。
はじめのうちは再生するたびにリネームが手間かもしれないが、
慣れると「20150808-log.xlsx」のような名前を見ただけで欲情できるようになる。
Re:TrueCrypt使うやつはシロウト (スコア:1)
だよね。
おれも最近は電源入れなくても、PC見るだけでいけるもの。
Re:TrueCrypt使うやつはシロウト (スコア:1)
嫁にみられないように暗号化ボリュームを作っておかず倉庫にしてたのに、
暗号化ボリュームである不明なボリュームをフォーマットされて泣いた。
笑顔で空きが増えたよ!って言われるし、ものがものだけに怒ることもできず。
Re: (スコア:0)
なんのコピペだ?
まあ言うがTruecryptするのもVPNするのも個人の権利やし、マルウェアを防ぐのにも役に立つ。
再起動をリモートからさせられないからな。
ただ警察云々だけでなくセキュリティの一環よ。
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
Volatilityというツールにtruecryptpassphraseプラグインがありますから既にカジュアルハックの範疇ですね。
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
必然て。
理論上はそうでも、現実的にありえないでしょう。
ページングファイルへの書き出しは使用頻度の低いページから率先して行われます。
また、古い領域は再利用されて新しいデータで上書きされます。
ディスクアクセスのたびに高頻度で参照されるページが、たまたまディスクに書きだされて、たまたま押収まで上書きされずに生き残って、捜査員が確信的に見つけようと考えて、運よく発見される。
やれるものならやってみろって感じですね。
報道がセンセーショナルなため、何かすごいことがあったかのように思うかもしれませんが
キーロガーを仕込んだとか、押収品にメモがあったとかでは。
アレゲなニュースと雑談サイト
Re: (スコア:0)
ページングファイル
ハイバネーションモード
メモリダンプファイル
3つのシナリオ全てに対して検討を行いましたか?
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
そうですね…理想的な条件をそろえて何度もシナリオを繰り返せばもしかすると成功することがあるかもしれません。
ただ、そんな偶然に頼った証拠固めよりかは、FBIならもっと確実な手段をとるんじゃないですか?
親コメントの問題は、文書でTrueCryptの可能性として挙げられたものを、分け隔てなく現実に発生しうるかのように信じてしまった点でしょうね。
信憑性に疑問を感じたので明らかに無理がある点を指摘しましたが、全部がおかしいということは無いでしょう。
多少は真実も混じっているからこそ、この手のは惑わされやすいのですが。
アレゲなニュースと雑談サイト
Re: (スコア:0)
理想も何も、ハイバネーションならかなりの確度で一発だろ。
実メモリ分の空き容量は確保されたままだから上書き受けることはなかなか無い。
ハイバネーションに使われた領域内からパスを含むメモリ領域を見つければ終了。
ディスクダンプ読む前提ならそこまでの手間じゃないだろう。
最悪マウントしたままハイバネーションした状態で押収されたわけで、
その場合HDD挿し直すだけで休止からのマウント状態での復帰すら出来るだろう。
・・・コレが一番ありそうな気がしてきた。
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
裁判前に容疑者はホンジュラスの同居人にハードディスクを取り外すよう伝えてほしいと母親に電話しており、データを読み取れないようマウントを解除しようとした可能性もある。
とあることから、当該容疑者の オカン の使い方に問題があることが見受けられます。(以下略)
#茶化してすんません
##でも、電話でそんな事話されたときの母親の心情を考えると泣けるよ。
###以前に、なんだかわからないけど、老後の蓄えを削って保釈金払っちゃって....という話が国内であった。
###他の点はともかく、その一点に限ってだけは泣けた。
#存在自体がホラー
Re: (スコア:0)
こうなると、
鳴子と電源スイッチ(リセットボタン)を連動したIoTデバイスの開発が必要なのかもしれない。
赤外線探知でもいいので一定のゾーンに何者かが入ると自動的にsysrq resetするようなトラップとかな。
または、偽コマンドなど、偽アカウントなどでsysrqさせるようなトラップとか。
忍者屋敷に学ぶ必要がある。
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:3, おもしろおかしい)
>鳴子と電源スイッチ(リセットボタン)を連動したIoTデバイスの開発が必要なのかもしれない。
しかし、お猫様と同居を始めると全てが無意味に....。
#存在自体がホラー
Re: (スコア:0)
離席でアンマウントするシステムを必須にすれば良いと思うけど…
身につけた何らかのデバイスが離れたら強制アンマウントを実行する。
Re: (スコア:0)
キーボードを、キーロガー内臓のものにすり替えるだけでそんな対策は無意味なので、
結局物理アクセス許した時点で負けでしょ。
Re: (スコア:0)
truecryptでシステム暗号化したディスク上からOSを起動した場合なら緊急時にコンセント抜いてしまえば
ページングファイル、ハイバネーションファイル、メモリダンプについては暗号化にて守られるはず
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
コンセント抜けばという前提がよくわからんけど、
結局、出力先が暗号化対象なら、HDD出力時に暗号化されてるって事でしょうか?
別の観点として、それって、動作速度的に問題ないんだろうか?
#結局、実用的に使おうとしたら、必然的にそれらが極力必要ないような環境にする必要がある?
##もしくは迂闊な人は出力先を暗号化対象外とする?
#存在自体がホラー
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
コンセント抜けばメモリの内容は消えストレージについてはHDD出力時に暗号化されてるのでキャッシュ等残りません。
速度についてはネットブック時代のAtomでも使えていましたしPentium4では体感出来無いレベルなので最近のAES-NI搭載CPUでは問題にならないです。
Re:仮想メモリが有効のままだったり、休止モードを一度でも利用してしまったことが原因では? (スコア:1)
理解しました。
あまり、動作上の暗号化のコストは気にしなくても問題ないようですね。
でも、なんかいろいろトラブルの元になりそうなんで、システムで使用するドライブの暗号化はちょっと抵抗があります。できれば運用で切り分けたい。メモリ上の話は電源断でいいと割り切って。
なんで、出力先が起動元に固定されるんだと思ったけど、Windows前提の話だからか。
#存在自体がホラー
Re: (スコア:0)
システムで利用するドライブがリードオンリだったりユーザデータが吐き出されない保証を得るのがめんどくさいなぁ…
あとスワップはWindowsでも任意のドライブに移せますよ。リムーバブル扱いの場合は駄目だろうけど。
休止状態が駄目かな?少なくとも標準のUIには無かった覚えが
Re: (スコア:0)
きちんと TrueCrypt を使っている人は、
地球上に何人存在するのだろう。
Re: (スコア:0)
turecrypt使ってるけど、システムボリュームごと暗号化してる場合はどうなのエロい人