BitLocker の対策

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows では、攻撃から BitLocker 暗号化キーを保護するハードウェア ソリューションとセキュリティ機能が使用されます。 これらのテクノロジには、 トラステッド プラットフォーム モジュール (TPM)、 セキュア ブート、 および測定ブートが含まれます。

起動前の保護

Windows が起動する前に、デバイスのハードウェアとファームウェアの一部として実装されるセキュリティ機能は、TPM やセキュア ブートなど、依存している必要があります。

• TPM は、主に暗号化キーを含む基本的なセキュリティ関連の機能を提供するように設計されたチップです。 BitLocker は、システムがオフラインの間にデバイスが改ざんされていないことを確認するために、TPM と暗号化キーをバインドします。 TPM の詳細については、「トラステッド プラットフォーム モジュール」を参照してください。
• 統合拡張ファームウェア インターフェイス (UEFI) は、デバイスを初期化し、オペレーティング システムのブートローダーを起動するプログラム可能なブート環境です。 UEFI 仕様では、セキュア ブートと呼ばれるファームウェア実行認証プロセスが定義されています
• セキュア ブート は、信頼されていないファームウェアとブートローダー (署名済みまたは署名なし) がシステム上で起動できないようにブロックします。 既定では、BitLocker は TPM PCR[7] 測定を利用してセキュア ブートの整合性保護を提供します。 承認されていない EFI ファームウェア、EFI ブート アプリケーション、またはブートローダーを実行して BitLocker キーを取得できない

BitLocker とリセット攻撃

悪意のあるリセット攻撃から保護するために、BitLocker では、キーをメモリに抽出する前に 、TCG リセット攻撃軽減策 ( MOR ビット (メモリ上書き要求) とも呼ばれます) を使用します。

セキュリティ ポリシー

プリブート認証と DMA ポリシーは、BitLocker に対する追加の保護を提供します。

プリブート認証

BitLocker を使用したプリブート認証では、システム ドライブの内容にアクセスできるようにする前に、PIN、スタートアップ キー、またはその両方のユーザー入力を使用して認証する必要があります。

BitLocker は、プリブート認証が完了した後にのみ、暗号化キーにアクセスしてメモリに格納します。 Windows が暗号化キーにアクセスできない場合、デバイスはシステム ドライブ上のファイルを読み取ったり編集したりできません。 プリブート認証をバイパスするための唯一のオプションは、 回復キーを入力することです。

プリブート認証は、信頼されたユーザーが別の認証要素を指定せずに、暗号化キーがシステム メモリに読み込まれないように設計されています。 この機能は、DMA とメモリの再管理攻撃を軽減するのに役立ちます。

互換性のある TPM を持つデバイスでは、BitLocker で保護されているオペレーティング システム ドライブは、次の 4 つの方法でロックを解除できます。

• TPM のみ: このオプションでは、ドライブのロックを解除してアクセスを提供するためにユーザーとの対話は必要ありません。 TPM 検証が成功した場合、ユーザー サインイン エクスペリエンスは標準サインインと同じです。 TPM が見つからないか変更されている場合、または BitLocker が BIOS または UEFI 構成、重要なオペレーティング システムスタートアップ ファイル、またはブート構成の変更を検出した場合、BitLocker は回復モードになります。 その後、ユーザーは回復パスワードを入力して、データへのアクセスを回復する必要があります。 このオプションはサインインに便利ですが、他のオプションよりも安全性が低く、追加の認証要素が必要です
• スタートアップ キーを持つ TPM: TPM 専用の保護に加えて、暗号化キーの一部は 、スタートアップ キーと呼ばれる USB フラッシュ ドライブに格納されます。 暗号化されたボリューム上のデータには、スタートアップ キーがないとアクセスできません
• PIN を使用した TPM: TPM によって提供される保護に加えて、BitLocker ではユーザーが PIN を入力する必要があります。 暗号化されたボリューム上のデータには、PIN を入力しないとアクセスできません。 また、TPM には、PIN の特定を試みるブルート フォース攻撃を防ぐために設計された ハンマリング防止保護 もあります
• スタートアップ キーと PIN を使用した TPM: TPM によって提供される保護に加えて、暗号化キーの一部が USB フラッシュ ドライブに格納され、TPM に対するユーザーの認証には PIN が必要です。 この構成では多要素認証が提供されるため、USB キーが紛失または盗難にあった場合は、PIN も必要になるため、ドライブへのアクセスに使用できません

PIN を使用したプリブート認証により、起動可能な eDrive を使用するデバイスの攻撃ベクトルが軽減される可能性があります。これは、公開された eDrive バスによって、攻撃者が起動時に BitLocker 暗号化キーをキャプチャできる可能性があるためです。 PIN を使用したプリブート認証は、BitLocker がドライブのロックを解除してから Windows が起動してから、Windows が構成されているポート関連のポリシーを設定できるまでの間の期間の DMA ポート攻撃を軽減することもできます。

一方、プレブート認証プロンプトはユーザーに不便な場合があります。 さらに、PIN を忘れたユーザーやスタートアップ キーを紛失したユーザーは、organizationのサポート チームに連絡して回復キーを取得できるようになるまで、データへのアクセスが拒否されます。 また、プレブート認証を使用すると、デバイスの再起動時または休止状態からの再開時に PIN を入力する必要があるため、無人またはリモートで管理されるデバイスの更新が困難になる場合があります。

これらの問題に対処するために、 BitLocker ネットワーク ロック解除 を展開できます。 ネットワーク ロック解除を使用すると、ハードウェア要件を満たし、TPM + PIN で BitLocker を有効にしたシステムは、ユーザーの介入なしに Windows に起動できます。 Windows Deployment Services (WDS) サーバーへの直接イーサネット接続が必要です。

詳細については、「 起動時に追加認証を必要とする」ポリシー設定を参照してください。

DMA ポートを保護する

外部周辺機器がメモリに不正にアクセスする可能性があるため、DMA ポートを保護することが重要です。 デバイスの機能に応じて、DMA ポートを保護するためのさまざまなオプションがあります。 詳細については、「 このコンピューターがロックされているときに新しい DMA デバイスを無効にする」ポリシー設定を参照してください。

攻撃対策

このセクションでは、特定の種類の攻撃の対策について説明します。

ブートキットとルートキット

物理的に存在する攻撃者は、BitLocker キーを盗もうとしてブート キットまたはルートキットのようなソフトウェアをブート チェーンにインストールしようとする可能性があります。 TPM は、PCR 測定を使用してこのインストールを監視する必要があり、BitLocker キーはリリースされません。

注

BitLocker は、既定でこの攻撃から保護します。

BIOS パスワードは、BIOS が BitLocker セキュリティの保証を弱める可能性のある設定を公開する場合に備え、多層防御のために推奨されます。 Intel Boot Guard と AMD ハードウェア検証ブートでは、マルウェアや物理攻撃に対する追加の回復性を提供するセキュア ブートのより強力な実装がサポートされています。 Intel Boot Guard と AMD ハードウェア検証ブートは、 安全性の高い Windows デバイスのプラットフォーム ブート検証標準の一部です。

PIN に対するブルート フォース攻撃

ハンマー防止保護のために TPM + PIN が必要です。

DMA 攻撃

この記事の「 DMA ポートを保護 する」を参照してください。

ページング ファイル、クラッシュ ダンプ、Hyberfil.sys 攻撃

これらのファイルは、OS ドライブで BitLocker が有効になっている場合、既定で暗号化されたボリュームで保護されます。 また、ページング ファイルの自動または手動による移動の試行もブロックされます。

メモリの再管理

セキュア ブートを有効にし、パスワードを必須に使用して BIOS 設定を変更します。 これらの高度な攻撃に対する保護を必要とするシナリオでは、プロテクタを TPM+PIN 構成し、 スタンバイ 電源管理を無効にし、承認されたユーザーの制御を離れる前にデバイスをシャットダウンまたは休止状態にします。

Windows の既定の電源設定では、アイドル時にデバイスが スリープ モード になります。 デバイスがスリープ状態に移行すると、実行中のプログラムとドキュメントはメモリに保持されます。 デバイスがスリープ状態から再開する場合、ユーザーは暗号化されたデータにアクセスするために PIN または USB スタートアップ キーを使用して再認証する必要はありません。 このシナリオでは、データ セキュリティが侵害される状況が発生する可能性があります。

デバイスが 休止状態になると、ドライブはロックされます。 デバイスが休止状態から再開されると、ドライブのロックが解除されます。つまり、BitLocker で多要素認証を使用する場合は、ユーザーが PIN またはスタートアップ キーを指定する必要があります。

そのため、BitLocker を使用する組織では、セキュリティを強化するために、スリープの代わりに休止状態を使用することが必要になる場合があります。

注

この設定は、起動時と休止状態からの再開時に透過的なユーザー エクスペリエンスを提供するため、TPM のみのモードには影響しません。

不正なオペレーティング システムにキーを渡すために BitLocker をだます

攻撃者は、暗号化されていないパーティションに格納されているブート マネージャー構成データベース (BCD) を変更し、別のパーティション上の不正なオペレーティング システムにエントリ ポイントを追加する可能性があります。 ブート プロセス中に、BitLocker コードは、TPM から取得した暗号化キーが付与されたオペレーティング システムが、意図された受信者であることが暗号化によって検証されることを確認します。 この強力な暗号化検証は既に存在するため、プラットフォーム構成レジスタ (PCR) 5 にディスク パーティション テーブルのハッシュを格納することはお勧めしません。

攻撃者は、プラットフォームのハードウェアとファームウェアを保持しながらオペレーティング システム ディスク全体を置き換え、保護された BitLocker キー BLOB を被害者 OS パーティションのメタデータから抽出する可能性もあります。 その後、攻撃者は、制御下のオペレーティング システムから TPM API を呼び出すことによって、BitLocker キー BLOB のセキュリティを解除しようとする可能性があります。 これは、Windows が BitLocker キーを TPM にシールすると、PCR 11 値 0 で行われるため、成功できません。 BLOB のシールを正常に解除するには、TPM の PCR 11 の値が 0 である必要があります。 ただし、ブート マネージャーがコントロールを任意のブート ローダー (正当または不正) に渡すと、常に PCR 11 が値 1 に変更されます。 PCR 11 の値はブート マネージャーを終了した後に異なることがありますので、攻撃者は BitLocker キーのロックを解除できません。

攻撃者の対策

次のセクションでは、さまざまな種類の攻撃者に対する軽減策について説明します。

多くのスキルを持たない、または物理的なアクセスが制限されている攻撃者

バスとメモリを公開しないフォーム ファクターでは、物理的なアクセスが制限される場合があります。 たとえば、外部 DMA 対応ポートはなく、シャーシを開く露出したネジはなく、メモリはメインボードにはんだ付けされます。

この機会の攻撃者は、破壊的な方法や高度なフォレンジックハードウェア/ソフトウェアを使用しません。

緩和：

• 事前ブート認証が TPM のみに設定されている (既定値)

スキルと長い物理的アクセス権を持つ攻撃者

十分な時間を持つ標的型攻撃。攻撃者はケースを開き、はんだ付けし、洗練されたハードウェアまたはソフトウェアを使用します。

緩和：

• PIN 保護機能を使用して TPM に設定されたプリブート認証 (TPM のハンマリング防止の軽減に役立つ高度な英数字 PIN [拡張ピン])。

  -そして-

• スタンバイ電源管理を無効にし、承認されたユーザーの制御を離れる前に、デバイスをシャットダウンまたは休止状態にします。 この構成は、次のポリシー設定を使用して設定できます。

  • コンピューターの構成>ポリシー>管理用テンプレート>Windows コンポーネント>>エクスプローラー電源オプション メニューで休止状態を表示する
  • コンピューターの構成>ポリシー>管理用テンプレート>Power Management>スリープ設定>
    • スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)
    • スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

重要

これらの設定は既定では 構成されていません 。

一部のシステムでは、TPM のみのバイパスではケースを開く必要があり、はんだ付けが必要になる場合がありますが、妥当なコストで行うことができます。 PIN 保護機能を使用して TPM をバイパスするとコストが高く、PIN をブルート フォースする必要があります。 高度な強化された PIN を使用すると、ほぼ不可能になる可能性があります。 ポリシー設定の詳細については、「 スタートアップに拡張 PIN を許可する」を参照してください。

セキュリティで保護された管理ワークステーションの場合は、次の作業を行うことをお勧めします。

• PIN 保護機能で TPM を使用する
• スタンバイ電源管理を無効にする
• 承認されたユーザーの制御を離れる前に、デバイスをシャットダウンまたは休止状態にします

次のステップ

organizationで BitLocker 展開を計画する方法について説明します。

BitLocker 計画ガイド >