米セキュリティ機関のCERT/CCは11月6日、ハードウェアベースの暗号化機能を提供する自己暗号化ドライブ（SED）の脆弱性に関するセキュリティ情報を公開した。MicrosoftやSamsungもそれぞれのセキュリティ情報で、対策について解説している。

CERT/CCによると、SEDに関してATAセキュリティやTCG Opal標準の実装方法に起因する2件の脆弱性が、オランダの研究者によって発見された。

悪用された場合、エンドユーザーが設定したパスワードを知らなくても、ドライブに物理的にアクセスできる攻撃者がドライブの暗号を解読できてしまう恐れがある。危険度は共通指標CVSSのベーススコアで6.3（最高値は10.0）と評価されている。

CERT/CCによると、これまで「Samsung SSD 840 EVO」や「Samsung SSD 850 EVO」（写真）、Crucialの「MX100」「MX200」「MX300」などで脆弱性が確認されている

これまでのところ、Crucial（Micron）やSamsungのSSDで脆弱性が確認されているほか、他の製品にも同様の脆弱性が見つかる可能性があるという。また、Microsoft Windowsに搭載されているディスク暗号化機能「BitLocker」への影響も指摘されている。

Microsoftがこの脆弱性に関して公開したBitLockerのセキュリティ情報によると、自己暗号化ドライブを搭載したWindowsマシンでは、デフォルトの設定でハードウェア暗号化が使われている。

SEDの脆弱性について不安がある場合の対策として、グループポリシーを使ってデフォルトの設定を上書きし、ソフトウェアの暗号化機能のみを使う設定に変更する方法を紹介している。

一方、Samsungでは、非ポータブルSSDについては暗号化ソフトウェアの使用を勧告し、ポータブルSSDについてはファームウェアの更新を促している。

関連キーワード 脆弱性 | 暗号化 | セキュリティ | Samsung | SSD | BitLocker | Microsoft



Copyright © ITmedia, Inc. All Rights Reserved.