【活用ガイド】

JVNDB-2018-009133

自己暗号化ドライブ製品における複数の脆弱性

概要

ATA セキュリティモードや TCG OPAL 規格を実装した自己暗号化ドライブ製品には複数の脆弱性が存在し、攻撃者によって暗号化されたドライブの内容を復号される可能性があります。

CVE-2018-12037
ユーザが設定したパスワードと、データ暗号化に使用される暗号鍵の間に、暗号学的な関連付けがなされていません。そのため、ユーザ設定のパスワードを知らずとも、データの復号が可能となります。

CVE-2018-12038
データ暗号化鍵に関する情報が、ウェアレベリング機能を持った記憶領域に記録されています。
ウェアレベリング機能を持ったデバイスでは、データがアップデートされると、物理的に異なる位置に書き込みがなされるため、元のデータが完全には削除されない可能性があります。その結果、データ暗号鍵を新しいパスワードでアップデートした後も、保護されていない、もしくは古いパスワードで保護された以前のデータ暗号鍵にアクセスされる可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.1 (警告) [JPCERT/CC値]
  • 攻撃元区分: 物理
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 6.3 (警告) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): なし
影響を受けるシステム

オランダの National Cyber Security Centre (NCSC-NL) によると、次の製品について、本脆弱性の影響が報告されています。

Micron Technology, Inc.
  • Crucial (Micron) MX100 ドライブ (CVE-2018-12037)
  • Crucial (Micron) MX200 ドライブ (CVE-2018-12037)
  • Crucial (Micron) MX300 ドライブ (CVE-2018-12037)
Samsung Electronics Co., Ltd.
  • Samsung 840 EVO ドライブ (CVE-2018-12037)(CVE-2018-12038)
  • Samsung 850 EVO ドライブ (ATA high モードの場合影響を受けます。TCG モードもしくは ATA MAX モードの場合は影響を受けません。)(CVE-2018-12037)
  • Samsung ポータブルドライブ T3 (CVE-2018-12037)
  • Samsung ポータブルドライブ T5 (CVE-2018-12037)

上記以外の自己暗号化ドライブ製品にも、同様の脆弱性が存在する可能性があります。
想定される影響

本脆弱性の影響を受ける製品への物理的なアクセスが可能な攻撃者により、暗号化されたデータを復号される可能性があります。
対策

[パッチを適用する]
開発者が提供する情報をもとに、修正パッチを適用してください。

[ワークアラウンドを実施する]
修正パッチが提供されていない、あるいは何らかの理由により適用ができない場合、次のワークアラウンドの実施を検討してください。
* 当該製品のハードウェアベースの暗号化のみに頼らず、ソフトウェアベースの暗号化を使用する

[BitLocker に関する追加情報]
NCSC-NL によると、Microsoft Windows に同梱されている BitLocker の初期設定では、使用するディスクがハードウェアベースの暗号化機能を持っている場合には、BitLocker 自身では暗号化を行わずにハードウェアベースの暗号化を使用するようになっているとのことです。
BitLocker 自身が暗号化を行うようにグループポリシーの設定を行ってください。なお、グループポリシーの変更後は、ソフトウェアベースでドライブを暗号化し直すため、BitLocker を一度無効化してから有効化し直す必要があります。詳しくは、Microsoft が提供するページを参照してください。
ベンダ情報

Micron Technology, Inc. Samsung Electronics Co., Ltd. マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-12037
  2. CVE-2018-12038
参考情報

  1. JVN : JVNVU#90149383
  2. National Vulnerability Database (NVD) : CVE-2018-12037
  3. National Vulnerability Database (NVD) : CVE-2018-12038
  4. 関連文書 : Self-Encrypting Drives Have Multiple Vulnerabilities
  5. 関連文書 : NCSC-2018-0984: Meerdere kwetsbaarheden ontdekt in implementaties Self-Encrypting Drives
  6. 関連文書 : Radboud University researchers discover security flaws in widely used data storage devices
更新履歴

  • [2018年11月08日]
      掲載
  • [2019年08月06日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-12037) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-12038) を追加

公表日2018/11/07
登録日2018/11/08
最終更新日2019/08/06