BitLocker に対する 1394 DMA と Thunderbolt DMA の脅威を軽減するための SBP-2 ドライバーと Thunderbolt コントローラーのブロック

文書翻訳 文書翻訳
文書番号: 2516445 - 対象製品
Windows Vista Service Pack 1 (SP1) のサポートは 2011 年 7 月 12 日に終了しました。Windows 用のセキュリティ更新プログラムを継続して入手するには、Windows Vista Service Pack 2 (SP2) を使用してください。詳細については、以下のマイクロソフト Web サイトを参照してください。Windows の一部バージョンのサポート終了のお知らせ
すべて展開する | すべて折りたたむ

現象

コンピューターの電源が入っている場合やコンピューターがスタンバイ電力状態である場合、BitLocker で保護されたコンピューターには Direct Memory Access (DMA) 攻撃に対する脆弱性が存在することがあります。これには、デスクトップがロックされている場合が含まれます。

TPM 認証のみの BitLocker では、コンピューターはプリブート認証を行うことなく、電源オン状態になることができます。そのため、攻撃者は DMA 攻撃を実行できる場合があります。

このような構成では、攻撃者は、1394 ポートに接続された攻撃デバイスを使用し、SBP-2 ハードウェア ID をスプーフィングすることで、システム メモリの BitLocker 暗号化キーを検索できる場合があります。または、アクティブな Thunderbolt ポートからシステム メモリにアクセスして攻撃を実行できることもあります。

この資料は、以下のシステムを対象としています。
  • 電源オンのまま放置されているシステム。
  • スタンバイ電力状態のまま放置されているシステム。
  • TPM のみの BitLocker プロテクターを使用しているシステム。

原因

1394 Physical DMA

業界標準の 1394 コントローラー (OHCI 準拠) には、システム メモリにアクセスできる機能があります。この機能は、パフォーマンスの向上策として装備されています。この機能により、CPU とソフトウェアを迂回して、1394 デバイスとシステム メモリの間で大量のデータを直接転送することができます。既定では、1394 Physical DMA はすべてのバージョンの Windows で無効になっています。1394 Physical DMA を有効にするには、次のオプションを使用できます。
  • 管理者が 1394 Kernel Debugging を有効にする。
  • コンピューターに物理的にアクセスできるユーザーが、SBP-2 仕様に準拠する 1394 記憶装置を接続する。
BitLocker に対する 1394 DMA の脅威

BitLocker のシステム整合性チェックは、権限のない Kernel Debugging 状態の変更を防御します。ただし、攻撃者は 1394 ポートに攻撃デバイスを接続し、SBP-2 ハードウェア ID をスプーフィングすることができます。Windows で SBP-2 ハードウェア ID が検出された場合、SBP-2 ドライバー (sbp2port.sys) が読み込まれ、このドライバーは SBP-2 デバイスでの DMA の実行を許可するように指示されます。これにより、攻撃者はシステム メモリにアクセスし、BitLocker 暗号化キーを検索できるようになります。

Thunderbolt Physical DMA

Thunderbolt は、システム メモリに直接アクセスできる機能を備えた新しい外部バスです。この機能は、パフォーマンスの向上策として装備されています。この機能により、CPU とソフトウェアを迂回して、Thunderbolt デバイスとシステム メモリの間で大量のデータを直接転送することができます。Thunderbolt は、Windows のどのバージョンでもサポートされていませんが、それでも製造元がこの種類のポートを搭載する場合があります。

BitLocker に対する Thunderbolt の脅威

攻撃者は、特別な目的を持ったデバイスを Thunderbolt ポートに接続し、PCI Express バス経由で完全な直接メモリ アクセスを行うことができます。 これにより、攻撃者はシステム メモリにアクセスし、BitLocker 暗号化キーを検索できる可能性があります。

解決方法

BitLocker の一部の構成は、この種の攻撃のリスクを軽減できます。コンピューターでスリープ モード (suspend to RAM) を使用しない場合は、TPM+PIN、TPM+USB および TPM+PIN+USB プロテクターにより DMA 攻撃の影響を軽減させることができます。組織で TPM のみのプロテクターを許可しているか、スリープ モードのコンピューターをサポートしている場合は、DMA 攻撃のリスクを軽減するために Windows SBP-2 ドライバーと Thunderbolt コントローラーをブロックすることをお勧めします。

この作業を実行する方法の詳細については、以下のマイクロソフト Web サイトを参照してください。

SBP-2 の軽減

前述の Web サイトで、「デバイス インストール用のグループ ポリシーの設定」の「これらのデバイス セットアップ クラスに一致するドライバーのインストールを防止する」を参照してください。

SBP-2 ドライブのプラグ アンド プレイ デバイス セットアップ クラスの GUID は以下のとおりです。
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt の軽減

重要 次の Thunderbolt の軽減策は、Windows 8 および Windows Server 2012 にのみ適用されます。「適用対象」に記載されている他のオペレーティング システムには適用されません。

前述の Web サイトで、「デバイス インストール用のグループ ポリシーの設定」の「これらのデバイス ID に一致するデバイスのインストールを防止する」を参照してください。

Thunderbolt コントローラーのプラグ アンド プレイ互換 ID は以下のとおりです。
PCI\CC_0C0A


注意事項
  • この軽減策の欠点は、外部ストレージ デバイスが 1394 ポートを使用して接続できなくなり、Thunderbolt ポートに接続されているすべての PCI Express デバイスが機能しなくなることです。USB と eSATA は広く普及しており、DisplayPort は通常 Thunderbolt が無効になっているときでも機能するので、これらの軽減策による悪影響は限定的です。
  • 使用中のハードウェアが Windows エンジニアリング ガイダンスに従っていない場合、コンピューターを起動し、Windows がハードウェアの制御を取得する前にこれらのポート上で DMA が有効になることがあります。これにより、システムが攻撃を受けやすくなり、この状態はこの回避策では軽減されません。

詳細

BitLocker に対する DMA の脅威の詳細については、次のマイクロソフト セキュリティ ブログを参照してください。
Windows BitLocker Claims
BitLocker に対するコールド攻撃に関する軽減策の詳細については、次の Microsoft Integrity Team のブログを参照してください。
Protecting BitLocker from Cold Attacks
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。

プロパティ

文書番号: 2516445 - 最終更新日: 2012年8月9日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Windows 7 Service Pack 1?を以下の環境でお使いの場合
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1?を以下の環境でお使いの場合
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2?を以下の環境でお使いの場合
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
キーワード:?
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com