自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果 14
ストーリー by headless
暗号 部門より
暗号 部門より
ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事、
ラドバウド大学によるアドバイザリ: PDF、
論文ドラフト: PDF、
The Registerの記事)。
研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。
CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。
研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。
CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。
CVE-2018-12038は、ディスクの暗号化鍵ハッシュの保存場所がウェアレベリングされたストレージであることによる脆弱性だ。ウェアレベリングされたストレージでは同じ論理セクターを指定しても異なる物理セクターに書き込まれる。ユーザーがパスワードを設定した際、パスワード設定前のハッシュが上書きされずに残るため、古いハッシュを復元すればデータも復元可能となる。この脆弱性は840 EVOのみが影響を受けたそうだ。
さらに、Opal準拠の自己暗号化SSDでは、Windows BitLockerがデフォルトでハードウェアベースの暗号化を使用するため、BitLocker使用時にも脆弱性の影響を受ける点が指摘されている。グループポリシーの「コンピューターの構成→管理用テンプレート→Windowsコンポーネント→BitLockerドライブ暗号化→固定データドライブ」の「固定データドライブに対するハードウェアベースの暗号化の使用を構成する」を「無効」にすることでハードウェアベースの暗号化を無効化できるが、既存のドライブが自動で再暗号化されることはない。論文では再フォーマットが必要と説明しているが、MicrosoftのセキュリティアドバイザリによればBitLockerをいったん無効化して暗号化をすべて解除し、再度有効にすればソフトウェアベースの暗号化を利用できるとのこと。
SamsungではT3/T5について脆弱性を修正したファームウェアを提供しており、内蔵タイプについては利用中のシステムと互換性のある暗号化ソフトウェアの利用を推奨している。
追記: Crucialはサポートフォーラムでの質問に11月6日付で回答し、MicronがMX100/200/300向けのパッチを既に開発していること、MX100/200向けパッチはcrucial.comで「本日」公開したこと、MX300向けパッチは11月13日に公開予定であることを明らかにした。米国版のSSDサポートページでも脆弱性に関するアナウンスは出ているが、コメントにもある通りMX100/200向けのファームウェアは5月25日公開のMU03/MU05となっている。
セキュリティレベルが「High」になっている場合のみ影響を受ける (スコア:1)
つまり…どういうことだってばよ
Re:セキュリティレベルが「High」になっている場合のみ影響を受ける (スコア:5, 参考になる)
紛らわしいけど、ATA Security の Master Password Capability の設定値は、
High か Maximum の二択で、Maximun の方が制限がきつい(セキュリティレベルが高い)。
つまり、High は ATA Security の中でも最弱...
Re:セキュリティレベルが「High」になっている場合のみ影響を受ける (スコア:1)
USB2.0の速度みたいなものか。
Full-speedだから2.0の最高速度かと思いきや12Mbpsしかなく、480MbpsはHigh-speedだよ、とかいう。
Re:セキュリティレベルが「High」になっている場合のみ影響を受ける (スコア:1)
鉄道の特急, 快急, 区快, 急行, 区急, 準急, 区準が一般人には良く分からない的なものか。
Re: (スコア:0)
鉄道会社によって微妙に順番違ったりするし
Re: (スコア:0)
そこまで酷くもないじゃないか…フルHDとかフルスピードだとそれ以上上がらない印象を受けるのが普通だけどハイならまだまだ上がりそうだし
Re: (スコア:0)
まあ本来は最弱でも強いのだから良いでしょう。
問題なのはあくまでも不具合の方。
Re: (スコア:0)
台風の勢力みたいなものか。「大型」で「強い」台風しか存在しない。(かつては「小型」「弱い」という分類もあったが、台風の脅威をあなどって大きな被害が出たことがあるため廃止された)
Microsoftのセキュリティアドバイザリー (スコア:1)
自社の脆弱性じゃないのに、タイムリーにきちんとしたアドバイザリーを出したのは立派なもんやな。
Re: (スコア:0)
BitlockerでH/W暗号化利用してると影響受けちゃうから。
CPUなんかと同じ扱いかと。
Re: (スコア:0)
BitLockerをいったん無効化して暗号化をすべて解除し、再度有効にすればソフトウェアベースの暗号化を利用できるとのこと。
一旦解除した時点で平文がNANDに書き込まれて有効化時に上書きされない可能性があるのでは
って思ったけど想定敵が「ハードウェアバックドアにアクセスできる」から「NANDにFTLを介さずアクセスできる」になったところでリスクが増えるわけじゃねーなってなった
MX100 (スコア:0)
CrucialはSamusungと違い、これからファームウェア公開か、と思っていたけど、調べてみると2014年発売のMX100の場合、ファームウェアMU03が2018年5月に公開されている。
内容は「Resolves security vulnerability」
もしかして、これで対応済みなのかなあ。
それとも、これからMU04が出るのかな。
Re:MX100 (スコア:1)
なんだつまらん (スコア:0)
てっきりSSDの中に回復用パスワードが付箋で貼ってある機種があるのかとオモタ