SamsungやCrucial製SSDの暗号化機能に脆弱性

　オランダラドバウド大学は11月5日(現地時間)、同大学の研究チームが、Samsung製SSDおよびMicronの「Crucial」ブランドSSDにおいて、ドライブの暗号化機能に問題があり、正しくデータの暗号化が行なわれていないことを報告した。

　研究チームは、ファームウェアのリバースエンジニアリングで、異なるベンダーの複数のSEDのドライブ暗号化の実装を分析。その結果、重大なセキュリティ上の脆弱性を発見し、多くの場合、パスワードや秘密鍵を知らなくても、暗号化されたドライブの内容を復号でき、暗号化を完全にバイパスできたとする。

　SSDにローレベルアクセスが可能なJTAGでアクセスし、実装を検証した結果、問題のSSDではパスワードと秘密鍵が紐付けられておらず、パスワード変更のコマンドを使ってパスワードを書き換えてしまうことで、データにアクセスが可能となっていたという。

　問題の影響が確認されているのは、Crucialの「MX100」、「MX200」、「MX300」2.5インチSSDと、Samsungの「T3」、「T5」ポータブルSSD、「840 EVO」、「850 EVO」2.5インチSSDだが、チームではそのほかのSSDについても、特定の設定(セキュリティ設定“高”や“最大”など)の場合、同様の問題を抱えている可能性を指摘している。

　問題となるのはハードウェア(SSD)側の暗号化機能で、OS標準のソフトウェアによるドライブ暗号化機能を利用している場合には、正常に暗号化が行なわれる。

　しかし、Windows標準の暗号化機能「BitLocker」の場合、ドライブがハードウェア暗号化に対応していると、そちらを優先して利用するよう標準で設定されており、問題のあるハードウェア暗号化が有効化されてしまう。そのため、研究チームではグループポリシー設定から強制的にソフトウェア暗号化を利用するように設定するとともに、再度ドライブを暗号化するよう推奨している。

　macOSやiOS、Android、LinuxなどのOSでは問題の影響を受けない(ハードウェア暗号化に切り替わらない)が、BitLockerによってハードウェア暗号化が有効化された場合には、これらの問題の影響を受ける。

　Samsungはホームページにて情報を公開し、内蔵SSDについては利用システムと互換性のある暗号化ソフトウェア(VeraCryptなど)のインストールを推奨、ポータブルSSD製品についてはパッチ済のファームウェアへ更新するように案内している。

　Micronについては公式サイトでの告知はないが、NCCSの勧告によれば、修正アップデートが提供される予定となっている。