2013/2 補足情報追記:

Windows Vista 以降の OS に BitLocker は搭載されていますが、どの OS でも共通な保護策としてご利用いただけます。

Windows 8 では、Windows ハードウェア認定にて、コネクト スタンバイ状態のシステムではファームウェアが物理メモリを外部 DMA アクセス、あるいは承認されていない内部 DMA アクセスから保護することが要件となっています。（これは、System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby 要件の一部です)
これにより、Windows 8 においては、さらに、保護が強化されています。

 BitLocker ドライブ暗号 (以下 BitLocker) は、Windows Vista から導入されたディスク ボリューム全体を暗号化する機能です。紛失、または盗難に遭った PC のデータは、第三者が攻撃ツールを実行したり、その PC のハードディスクを別の PC に接続したりすることで、不正にアクセスされる可能性があります。BitLocker は、この問題を解決するもので、TPM や PIN (暗証番号) を併用することで、データに不正にアクセスされる危険を回避できます。

暗号化されたハードディスク内のデータを解読できた、パスワードロックされた PC にアクセスできたといった発表がありますが、いくつかの対策を行うことで、そのリスクを回避することができます。Protecting BitLocker from Cold Attacks (and other threats) で解説されている対策を以下にまとめましたので、ご覧ください。

BitLocker アドバンス モードで構成し、休止状態を併用する

※ これは Dynamic Random Access Memory (DRAM) 残存や他のプラットフォーム攻撃からシステムを保護するのに最も有効な方法です。

DRAM 内の暗号鍵にアクセスするプラットフォーム攻撃は、DRAM 内に鍵情報が残っていることが前提となっています。すべてのディスク暗号化の手法がそうであるように、ディスク暗号化を使用可能にするパフォーマンスを提供するために、暗号鍵はシステムメモリ内に存在する必要があります。

BitLocker をアドバンス モードで構成した場合、認証済みのユーザーが PIN やドングル (または両方) のような資格情報を提供するまで、暗号鍵はシステム メモリにロードされません。DRAM 内に機密情報 (暗号鍵を含む) が存在していたとしても、攻撃者がこれらの資格情報なしにシステムを起動することはできません。

次の理由から、この脅威が悪用される危険性は低いとみています。

DRAM 内に暗号鍵があるのは、許可されたユーザーが、自身の BitLocker 資格情報で認証された後、なおかつ、電源を切るか休止状態にする前になります。そして、この間に攻撃者がシステムにアクセスできた場合、プリンストン大学の研究者が発表した「DRAM 残存」攻撃または、Direct Memory Access (DMA) のような他のプラットフォーム攻撃を攻撃者が使用することで、これらの鍵へのアクセスを得ることになります。

これは、BitLocker 使用時に「スリープ」よりも「休止状態」を使用することが重要であるということの理由でもあります。スリープの切り替えのための高パフォーマンスを提供するために、BitLocker は RAM の内容は暗号化せず、スリープから復帰させる際に再認証を要求します。休止状態ではシステムは事実上「電源がオフ」の状態にあり、鍵は物理メモリには存在していません。休止状態から復帰させる際、BitLocker は資格情報を要求します。前述のとおり、資格情報なしでは暗号鍵が DRAM にロードされることはありません。

また、プリンストン大学の研究者の発表では、DRAM が状態を保てるのは、常温では数秒から数分になるということです。攻撃者がこの時間内にラップトップにアクセスできれば、DRAM 内の情報にアクセスできるかもしれません。もう一度言いますが、攻撃者がこれを悪用する危険性は、他のプラットフォームの脅威に対して低いです。

TPM を備えたシステムを使用する

BitLocker は、Trusted Platform Module (TPM) セキュリティ ハードウェアおよび BIOS を備えたシステムに対応するように設計されています。BitLocker と TPM の併用は、データの盗難や不正な閲覧の保護に有効です。

TPM は通常、コンピューターのマザーボードにインストールされ、ハードウェア バスを使用して、コンピューターの他の部分と通信します。TPM を備えたコンピューターには、TPM によってのみ暗号を解除できるように、暗号鍵を作成して暗号化する機能があります。このプロセスは、キーの漏えいを保護するのに役立ちます。各 TPM にストレージ ルート キー (SRK) と呼ばれるマスター ラップ キーがあり、そのキーは TPM 自体に格納されます。TPM で作成されるキー ペアの秘密部分が、他のコンポーネント、ソフトウェア、プロセス、またはユーザーに公開されることは一切ありません。

※ これはすべてのプラットフォームの脅威に対する絶対的な緩和策ではありませんが、ファームウェア ベースの上書きは、攻撃者が利用可能となる選択肢を効果的に制限します。

ブート デバイスの選択を制限する

DRAM 残存の脅威の一部を緩和する別の方法は、ファームウェア (BIOS など) の構成オプションで、ブートデバイスの選択を制限することです。これにより、システムの再起動および DRAM の内容が完全な状態にある間に攻撃者が選択したソフトウェアをロードするためのオプションを制限します。

これはファームウェア パスワードなどによって、ファームウェア オプション自体が保護されていることを意味します。ファームウェアセキュリティに関する一般公開された脅威がありますが、DRAM に情報が残っている状態が必要だということを思い出してください。攻撃者が DRAM に残された情報を維持しようとしても、ファームウェアに対する従来からある攻撃では、維持させることはできなくなります。

※ これは完全な緩和策ではありませんが、DRAM 残存の悪用に必要な手数を単純に増やす方法です。

Windows シャットダウンのオプションを制限する

攻撃者の選択肢を減らすための方法は他にもまだあります。ログオンせずにシステムをシャットダウンする機能を無効にすることで、許可されていないユーザーによる再起動をより難しいものにします。この動作は Windows グループ ポリシーで制御できます。詳細は、Windows セキュリティ ポリシーの設定「シャットダウン: システムをシャットダウンするのにログオンを必要としない」をご覧ください。

※ これは完全な緩和策ではありませんが、DRAM 残存の悪用に必要な手数を単純に増やす方法です。

1394 と PCI ホスト コントロールを無効にする

「サポート技術情報 2516445: BitLocker に対する 1394 DMA の脅威を軽減するための SBP-2 ドライバーのブロック」で説明している物理メモリへの攻撃が DMA 攻撃です。これらの攻撃は、ソフトウェアまたは CPU を介さずに、システム メモリの内容に直接アクセスするために IEEE 1394 (別名: i.LINK、FireWire) または PCI バスを経由して DMA を利用します。これらの攻撃では、攻撃者は別のデバイスを用いることもあります。たとえば、ラップトップですが、外部のハードウェアポート通じて被害者のプラットフォームに接続します。IEEE 1394 の場合、これは 1394 ケーブルを使用して「攻撃用」ラップトップを接続するという単純なものです。ケーブルが接続されてしまえば、攻撃者は、DMA を使用して「被害者」のラップトップ上の物理メモリの内容にアクセスする「攻撃用」ラップトップ上のソフトウェアを起動します。

これらの DMA 攻撃のリスクを低減するには、IEEE 1394 および PCI ホスト コントローラーを無効にすることです。この操作は、Windows デバイス マネージャーから行えます。

周囲に注意する

ディスク暗号化製品で PIN またはパスワードを使用している場合、資格情報を取得しようと様々方法で狙っている攻撃者に注意してください。ショルダーサーフィン、カメラ、キーストロークをキャプチャーするマイクなどがあります。これらのリスクを低減するために、ラップトップのカメラ部分をシールで覆う、軽いタッチで入力するといった対策方法もあります。パスワードや PIN を定期的に変更することも有効です。特に怪しいなと感じた場所にいた後に変更することが有効です。

まとめ

モバイル PC など外部に持ち出す PC には、以下の対策を施すことでコールド ブート攻撃から保護してください。

• TPM + PIN の構成で BitLocker を使用する
• スリープより、休止状態にする
• 不要���ブート オプション/デバイスを無効にする
• 周囲に注意する

関連リンク:

BitLocker に対する 1394 DMA の脅威を軽減するための SBP-2 ドライバーのブロック

Protecting BitLocker from Cold Attacks (and other threats)

Windows BitLocker Claims

Best-Practice Recommendations for Using BitLocker

Data Encryption Toolkit for Mobile PCs

決意を持った敵対者と標的型攻撃ブログ「その 2 」です。

「その1」では、標的型攻撃の課題と実態について紹介しましたが、今回は対策について触れたいと思います。

従来のセキュリティモデルの中心は、セキュリティ対策製品の導入でしたが、標的型攻撃に対しては複数の対策を準備する必要があります。

具体的には、以下の 4 種類の対策が挙げられます。

Prevention ( 予防 )

従来のセキュリティ対策と同様、ウイルス対策ソフトウェアやファイアウォールといった予防措置が必要です。しかし、リサーチの結果は、そのような対策を講じているにも関わらず、ソフトウェアのセキュリティ設定を正しく設定していなかったり、セキュリティ更新プログラムをタイムリーに適用していないために攻撃されるケースが多いことを示しています。このような基本的な対策をしっかり講じることで標的型攻撃が成功する可能性を少しでも減らすことは非常に重要です。

Detection ( 検出 )

抑止策だけでは十分ではないという前提で、侵入検知装置やルーター、ホスト、プロキシ サーバーなどからのデータを利用して、ホストの運用状況やセキュリティの状況を評価します。また、リアルタイムの対策だけではなく長期的な視点で、ポリシー、コントロール、監視方法の確立、大量のデータを分析できるような人材の育成なども考慮すべき点であると言えます。

Containment  ( 封じ込め )

攻撃者は、初回の攻撃だけで目的を達成することは殆どなく、まずは標的の環境を偵察し、侵入するスキを見つけようとします。製品に組み込まれているセキュリティ機能を利用することによって、攻撃者の活動を抑止し、攻撃を発見、軽減することが大切です。また、ドメイン管理モデルの構築、管理者権限の利用の制限管理者権限の制限、IPsecベースの論理的セグメント化および暗号化といった、不必要な接続が行えないような措置を講じる必要があります。

Recovery  ( 回復 )

攻撃によるダメージを軽減する、または早期にダメージから回復するために、回復計画を準備しておきます。そのためには、ビジネス部門とIT部門が協力し合って準備すること、非常事態に備えて演習や訓練を実施すること、外部専門家の知識を参考にすることが望まれます。また、顧客の信頼を保つために、明確でタイムリーなメッセージを発信できるようなコミュニケーションプランを準備しておくことも大事です。

標的型攻撃への対策は、1 個人、1  社の企業だけで行うのには限界があります。標的型攻撃の被害を拡大させないためにも、政府機関と民間が協力して迅速な情報共有を行う必要があり、また、そのために被害者が適切に情報交換できるような環境を構築することが大切です。

さらに、上記にある予防、検知、封じ込め、回復によるリスク マネジメントを、組織、ビジネス、政府の主要な戦略として標的型攻撃に対応することが求められます。

参考情報:

Microsoft_Security_Intelligence_Report_Volume_12_Determined_Adversaries_And_Targeted_Attacks_English.pdf

2012 年 6 月 12 日 (米国時間)、マイクロソフトは Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7, Windows Sever 2008 R2 用に、失効した証明書を自動で処理する更新プログラム (KB2677070) を公開しました。

従来は、証明書を失効させるには、Windows Update を通じて、または手動で失効させる必要がありました。

例えば、先日公開したセキュリティ アドバイザリ 2718704 では、承認されていない証明書を失効させるには更新プログラム (KB2718704) を適用して失効させる必要がありました。

更新プログラム (KB2677070) を適用すると、今後、動的に証明書の失効リストをチェックするようになるため、失効証明書について、最長でも 1 日以内に Windows クライアントが自動で更新されるようになります。ユーザーの操作は必要とされません。

より早いタイミングで失効証明書を無効にできるよう、更新プログラム (KB2677070) を適用いただくことをお勧めします。

なお、この失効リストが自動で更新される機能は Windows 8 / Windows Server 2012 で導入される予定で、既に Windows 8 Release Preview および Windows Server 2012 Release Candidate で利用可能になっています。

関連リンク：

• Announcing the automated updater of untrustworthy certificates and keys
• Blog: 承認されていない証明書に関するアドバイザリ 2718704 を公開

皆さん、こんにちは！
先ほど 6 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

本日 6 月 13 日に公開した新規 7 件 (緊急 3 件、重要 4 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

2012 年 6 月 13 日 (日本時間)、マイクロソフトは計 7 件 (緊急 3 件、重要 4 件) の新規セキュリティ情報を公開しました。また、新規セキュリティアドバイザリ (2719615) を 1 件公開し、既存のセキュリティ アドバイザリ 1 件 (2269637) を更新、更に既存のセキュリティ情報 2 件 (MS12-020 RDP/MS12-025 .NET) を再リリースしています。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。

今月 8 日に公開した事前通知の内容から一部変更がありました。セキュリティ情報 4 としてご案内していた Microsoft Office 2003/2007、および Visual Basic for Applications 用のセキュリティ更新プログラムは、公開作業に関連する問題により 6 月の月例公開を見合わせています。今後適切なタイミングで公開を行う予定です。また、事前通知には含まれていなかった Lync のセキュリティ情報は、事前通知公開日の時点では、公開作業に間に合わない可能性があったために含んでいませんでしたが、その後最終的な確認が取れたため、6 月の月例のセキュリティ情報として公開するに至りました。

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用されるようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 2 つのセキュリティ情報 MS12-036 (RDP) および MS12-037 (IE) のセキュリティ更新プログラムを優先的に適用するよう推奨しています。

■既存セキュリティ情報の再リリース
既存のセキュリティ情報 MS12-020 (リモート デスクトップ) および MS12-025 (.NET Framework) を再リリースしています。再リリースしたセキュリティ更新プログラムは、それぞれ 6 月に新規で公開した MS12-036 (リモート デスクトップ) および MS12-037 (.NET Framework) のセキュリティ更新プログラムとの依存関係はなく、置き換え関係もありません。再リリース対象のソフトウェアをご使用のお客様は再リリースのセキュリティ更新プログラムおよび新規のセキュリティ更新プログラムの両方が提供されますので適用ください。

その他、各セキュリティ情報について注意事項がある場合は、下表の下に補足していますので併せてご覧ください。

■新規セキュリティ アドバイザリを公開
セキュリティ アドバイザリ 2719615 「Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される」を公開しました。XML コア サービス 3.0、4.0、5.0、および 6.0 の脆弱性の悪用を確認しております。お客様は早期にアドバイザリに記載の回避策の適用をご検討ください。

■2012 年 6 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jun

マイクロソフトは新たに確認した脆弱性について、次の 7 件のセキュリティ情報を公開しました。

□MS12-039 について
MS12-039 の一部の更新プログラムは、マイクロソフトダウンロード センターでのみ提供されます。詳しくはセキュリティ情報をご確認ください。

□MS12-040 について
MS12-040 のセキュリティ更新プログラムは、マイクロソフト ダウンロード センターでのみ提供されます。

■最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。