適用先
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

概要

特定のトラステッド プラットフォーム モジュール (TPM) チップセットにセキュリティ上の脆弱性が存在します。 この脆弱性によってキーの強度が低下します。 この脆弱性の詳細については、ADV170012 を参照してください。

詳細情報

重要

仮想スマート カード (VSC) キーは TPM にのみ格納されるため、影響を受ける TPM を使用しているすべてのデバイスが脆弱です。

お使いの OEM から TPM ファームウェアの更新プログラムがリリースされたら、マイクロソフト セキュリティ アドバイザリ ADV170012 の説明を参照し、VSC の TPM の脆弱性を軽減する手順を実行してください。 追加の緩和策を利用できるようになった場合は、このドキュメントを更新する予定です。 

TPM ファームウェアの更新プログラムをインストールする前に、BitLocker またはデバイス暗号化キーを取得してください。 

最初にこのキーを取得することが重要です。 TPM ファームウェアの更新中にエラーが発生する場合、BitLocker を一時停止していないときや、デバイス暗号化がアクティブなときには、システムを再起動するために回復キーが必要です。

デバイスの BitLocker またはデバイス暗号化が有効な場合は、その回復キーを取得する必要があります。 次に、単一ボリュームの場合に BitLocker とデバイス暗号化の回復キーを表示する方法の例を示します。 複数のハード ディスク パーティションがある場合は、各パーティションに別の回復キーが存在する可能性があります。 必ずオペレーティング システム ボリューム (通常は C) の回復キーを保存してください。  オペレーティング システム ボリュームを別のボリュームにインストールしている場合は、それに従ってパラメーターを変更します。 

管理者権限を使用してコマンド プロンプトで次のスクリプトを実行します。

C:\Windows\system32>manage-bde -protectors -get c:

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []

All Key Protectors

TPM:

ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}

PCR Validation Profile:

7, 11

(Uses Secure Boot for integrity validation)

Numerical Password:

ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}

Password:

588214-228690-421003-079299-589270-595331-473407-0361

OS ボリュームで BitLocker またはデバイス暗号化が有効な場合は、一時停止します。 次に、BitLocker またはデバイス暗号化を一時停止する方法の例を示します  (オペレーティング システム ボリュームを別のボリュームにインストールしている場合は、それに従ってパラメーターを変更します)。

管理者権限を使用してコマンド プロンプトで次のスクリプトを実行します。

C:\Windows\system32>manage-bde -protectors c: -disable

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Key protectors are disabled for volume C:.

注: Windows 8 以降のバージョンでは、再起動後に BitLocker とデバイス暗号化は自動的に再開されます。  そのため、TPM ファームウェアの更新プログラムをインストールする直前に BitLocker とデバイス暗号化を一時停止してください。  Windows 7 以前のシステムでは、ファームウェアの更新プログラムをインストールした後に BitLocker を手動で有効にし直す必要があります。

 

OEM の手順に従って、影響を受ける TPM を更新する適切なファームウェアの更新プログラムをインストールする

これは、TPM の脆弱性を解決するためにお使いの OEM からリリースされる更新プログラムのことです。 お使いの OEM から TPM の更新プログラムを取得する方法については、マイクロソフト セキュリティ アドバイザリ ADV170012 (英語情報) の手順 4「Apply applicable firmware updates」を参照してください。 

VSC の削除と再登録

TPM ファームウェアの更新プログラムを適用した後に、弱いキーを削除する必要があります。 既存の VSC を削除し、再登録するには、VSC パートナー (Intercede など) から提供されている管理ツールを使用することをお勧めします。 

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター