公開日:2018/11/07 最終更新日:2018/11/07
JVNVU#90149383
自己暗号化ドライブ製品における複数の脆弱性
ATA セキュリティモードや TCG OPAL 規格を実装した自己暗号化ドライブ製品には複数の脆弱性が存在し、攻撃者によって暗号化されたドライブの内容を復号される可能性があります。
オランダの National Cyber Security Centre (NCSC-NL) によると、次の製品について、本脆弱性の影響が報告されています。
CVE-2018-12037
- Crucial (Micron) MX100 ドライブ, MX200 ドライブ, および MX300 ドライブ
- Samsung ポータブルドライブ T3 および T5
- Samsung 840 EVO ドライブ および 850 EVO ドライブ (ATA high モードの場合影響を受けます。TCG モードもしくは ATA MAX モードの場合は影響を受けません。)
- Samsung 840 EVO ドライブ
上記以外の自己暗号化ドライブ製品にも、同様の脆弱性が存在する可能性があります。
CVE-2018-12037
ユーザが設定したパスワードと、データ暗号化に使用される暗号鍵の間に、暗号学的な関連付けがなされていません。そのため、ユーザ設定のパスワードを知らずとも、データの復号が可能となります。
CVE-2018-12038
データ暗号化鍵に関する情報が、ウェアレベリング機能を持った記憶領域に記録されています。
ウェアレベリング機能を持ったデバイスでは、データがアップデートされると、物理的に異なる位置に書き込みがなされるため、元のデータが完全には削除されない可能性があります。その結果、データ暗号鍵を新しいパスワードでアップデートした後も、保護されていない、もしくは古いパスワードで保護された以前のデータ暗号鍵にアクセスされる可能性があります。
本脆弱性の影響を受ける製品への物理的なアクセスが可能な攻撃者により、暗号化されたデータを復号される可能性があります。
パッチを適用する
開発者が提供する情報をもとに、修正パッチを適用してください。
ワークアラウンドを実施する
修正パッチが提供されていない、あるいは何らかの理由により適用ができない場合、次のワークアラウンドの実施を検討してください。
- 当該製品のハードウェアベースの暗号化のみに頼らず、ソフトウェアベースの暗号化を使用する
BitLocker に関する追加情報
NCSC-NL によると、Microsoft Windows に同梱されている BitLocker の初期設定では、使用するディスクがハードウェアベースの暗号化機能を持っている場合には、BitLocker 自身では暗号化を行わずにハードウェアベースの暗号化を使用するようになっているとのことです。
BitLocker 自身が暗号化を行うようにグループポリシーの設定を行ってください。なお、グループポリシーの変更後は、ソフトウェアベースでドライブを暗号化し直すため、BitLocker を一度無効化してから有効化し直す必要があります。詳しくは、Microsoft が提供するページを参照してください。
| ベンダ | リンク |
| Micron Technology, Inc. | SSD Support |
| Microsoft | BitLocker Group Policy Settings |
| Samsung Electronics Co., Ltd. | Consumer Notice regarding Samsung SSDs |
-
CERT/CC Vulnerability Note VU#395981
Self-Encrypting Drives Have Multiple Vulnerabilities -
NCSC-NL
NCSC-2018-0984: Meerdere kwetsbaarheden ontdekt in implementaties Self-Encrypting Drives -
Radboud University
Radboud University researchers discover security flaws in widely used data storage devices
CVSS v3
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
基本値:
6.1
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:L/AC:M/Au:N/C:C/I:C/A:N
基本値:
6.3
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2018-12037 |
|
CVE-2018-12038 |
|
| JVN iPedia |
|
