米Appleの新しい超薄型ノートPC「MacBook Air」に関して最も批判されている要素の1つに、「RAMをアップグレードできない」という点がある。だがその弱点は図らずも、非常に重要なセキュリティ特性になっているようだ。
米プリンストン大学と電子フロンティア財団(EFF)の研究者チームは先ごろ、ディスク暗号化技術のコールドブート時の脆弱性を狙った攻撃について発表したが、One Laptop Per Child(OLPC)プロジェクトでセキュリティアーキテクチャ担当ディレクターを務めるイワン・クルスティッチ氏によると、MacBook Airはファームウェアさえアップグレードすれば、この脆弱性を突いた攻撃に対して耐性のある唯一のメインストリームのノートPCになるという。
この脆弱性に関するリポートは2月21日に発表された。研究者はこのリポートにおいて、現在広く使われている幾つかのディスク暗号化技術には設計上の問題があり、スリープモードやハイバネーションモードのノートPCに攻撃が仕掛けられる可能性があると指摘している。この脆弱性は、MicrosoftのWindows Vistaに採用されているBitLocker、AppleのMac OS Xに採用されているFileVaultのほか、Linux向けのTrueCryptやdm-cryptといったディスク暗号化技術に当てはまるという。
この研究者チームは、ほとんどのコンピュータでは、メモリチップを物理的にコンピュータから外した後でも、RAMの中身はたとえ室温でも数秒から数分の間はそのまま残ることを発見した。エアダスターなどによる安価な冷却方法を使えば、RAMの中身をさらに長時間保存しておくのに十分な低温を実現できるという。
研究者らは自作のツールとプログラムを用いて、コンピュータの再起動後にメモリの中身を取り出し、ディスク暗号化技術を無効化することに成功した。特に脆弱なのは、ノートPCの電源を入れたままロックしている場合、あるいはカバーを閉じた状態でスリープモードまたはハイバネーションモードになっている場合だという。
だがOLPCのクルスティッチ氏が指摘しているように、AppleはMacBook Airの2GバイトのDDR2 SDRAMを直接マザーボードにはんだ付けしているため、このマシンはコンピュータからチップを取り外すという攻撃手法に対して高い耐性を備えていることになる。
「つまり、AppleがMacBook Air向けにEFIファームウェアのアップデートをリリースし、起動のたびにRAMの中身をゼロ化するようにすれば、MacBook Airはプリンストン大学の研究者らが指摘するような厄介な攻撃手法に対して高い耐性を持つディスク暗号化技術を備えた、唯一とは言わないまでも、数少ないメインストリームのノートPCの1つということになるだろう」とクルスティッチ氏。
プリンストン大学とEFFの研究者の指摘を受けて、既にMicrosoftは「Vistaに関する指摘は脆弱性を示すものではない」とのコメントを発表している。
MicrosoftがeWEEKに送付してきた声明文には次のように記されている。「彼らはただ、“その気になれば、稼働中のシステムのメモリに残っているコンテンツに第三者がアクセスできないわけではない”という事実を述べているにすぎない」
「BitLockerはノートPCに保存された個人的なデータを守るための効果的なソリューションであり、エンドユーザーのさまざまなニーズを満たすべく、セキュリティ保護の多様なオプションを提供している。ディスクを丸ごと暗号化するそのほか各社の技術と同様、BitLockerもシステムの稼働中に暗号キーを使って使用中のドライブのデータの暗号化と解読をその場で行う。スリープモードでも、システムは実際には稼働しているということだ」とMicrosoftの広報担当者は説明している。
MicrosoftはBitLockerを使用する最も安全な方法として、ハイバネーションモードで、なおかつ複数要素の認証システムとともに用いるよう奨励している。
MicrosoftのSWI(Secure Windows Initiative)チームのソフトウェアエンジニア、ロバート・ヘンシング氏によると、この種の攻撃は新しいものではなく、実際、2006年にマレーシアのクアラルンプールで開催されたHack in the Boxカンファレンスでも指摘があったという。
「これは以前から知られている問題で、われわれもかなり昔から把握している脅威だ。われわれは『Data Encryption Toolkit for Mobile PC』という形で既に幾つか興味深い情報も公開している」とヘンシング氏は自身のブログに記している。
また同氏によると、MicrosoftはWindows VistaのBitLocker機能をTPM(Trusted Platform Module)と併用してこの種の攻撃のリスクを軽減する方法についても既に公式文書で概略しているという。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR