パソコン内の情報保護に関しては、今も昔も頭を悩ませている企業は多い。情報を盗み出す手口が巧妙になればなるほど、様々な対策方法が登場し、いたちごっこを繰り返してきた。そんな中、2021年後半にリリース予定のWindows 11には、「トラステッド・プラットフォーム・モジュール(TPM)」というセキュリティチップが必須とされている。これは暗号化キーやユーザー認証などの機密データをハードウェアで保護し、マルウェアや攻撃者によるデータへのアクセスや、データの改ざんを防ぐためのもの。しかし、TPMによって保護されたPCから情報を盗みだす手口が明らかになった。
理想的な情報漏えい対策がされていても、穴はどこかにある!?
TPMで保護されたPCから情報を盗み出す手口を解説しているのは、セキュリティ企業のDolos Group。ある企業から、「情報漏えい対策をしたPCへ攻撃を行い、対策の効果を確かめてほしい」と依頼されて行ったものだ。そのパソコンには、「BitLockerでディスクを暗号化する」、「BIOSをパスワードで保護して設定変更を不可能にする」、「Intel VT-dを有効にする」、「セキュアブートを有効にする」など理想的な情報漏えい対策が施されており、ここから情報を抜き出すのは困難かと思われた。
しかし、そこで諦めるほどサイバー攻撃者は甘くない。ソフトウェアを使った手法が難しいなら、ハードウェアの脆弱性を突いたらどうか?と考え、PCへの侵入を試行。ハードウェアの脆弱性とはつまり、TPMが搭載されているマザーボードやCPUに手を加えるということ。セキュリティの重要性から、Windows 11で必須となったTPMだが、それにもかかわらずハッキングが可能となるとTPMの立場が失われてしまうが……。
ソフトウェアがダメならハードウェアから侵入!サーバへのアクセスも許してしまう
TPM自体に攻撃を加えることは困難だが、TPMと他のチップが通信する部分には攻撃の余地が残っていると考えたDolos Group。対象のPCを調べると、TPMとCPUが「シリアル・ペリフェラル・インタフェース(SPI)」で接続されていることが明らかとなった。このSPIを経由する通信は暗号化されないため、TPMとCPU間の通信を傍受できるのでは?と考えたのだ。TPMのピンはサイズが小さく接続が困難なため、TPMとSPIバスを共有しているCMOSのサイズの大きなピンを利用してプロトコル・アナライザを接続し、TPMとCPU間の通信傍受に成功。その通信情報を基に、専用ソフトウェアを利用してBitLockerのボリュームマスターキー(VMK)を抜き出した。
次に、対象PCからSSDを取り出して手持ちのPCと接続し、先に抜き出したVMKを使ってSSDを複合化。見事、Dolos Groupは攻撃対象のPCに保存されていた全データを盗み出すことに成功したのだ。また、依頼企業のファイルサーバにアクセスしての閲覧や書き込みにも成功しており、TPMで保護されたPCも物理的に盗まれてしまえば情報が抜き出されていることが証明された。
いかがだろうか。パソコン本体を盗むという古典的な手口が必要となるが、灯台下暗しとはまさにこのこと。どれだけソフト的な対策を施していても、電車の中にPCを置き忘れるなどして悪意あるハッカーがPCを手にしてしまえばアウトというわけだ。
リモートワークも広がっているため、今後はより一層の対策、物理的な対策も見直すことが求められることになりそうだ。
参考元:Windows 11に必須な「TPM」で保護されたPCから情報を盗み出す手口をセキュリティ企業が解説【GIGAZINE】
※サムネイル画像(Image:sdx15 / Shutterstock.com)