画像: Matejmo/Getty Images
フォックス・モルダーの言葉を借りれば、自己暗号化SSDを信用してはいけないということです。最新のWindows 10アップデート以降、Pro版とEnterprise版に組み込まれているMicrosoftのBitLocker暗号化ツールは、自己暗号化SSDが実際にデータを保護しているとは想定しなくなりました。昨年、多くの自己暗号化SSDに脆弱性があり、セキュリティ実装の不備とSSDメーカーが設定した秘密のマスターパスワードの組み合わせにより、悪意のある人物が暗号化を回避できることが研究者によって実証されました。Microsoftは、BitLockerがデフォルトでハードウェアベースの暗号化を信用しないようにすることで、この潜在的な抜け穴を塞ぎました。
匿名の情報セキュリティ系Twitterロックスター、Swift on Security氏が最初にこの変更に気づいた。Microsoftは9月24日にKB4516071アップデートの一部としてこの変更を公開した。アップデートには「自己暗号化ハードドライブを暗号化する際のBitLockerのデフォルト設定を変更します」と記載されている。「これにより、新しく暗号化されたドライブでは、デフォルトでソフトウェア暗号化が使用されるようになります。既存のドライブでは、暗号化の種類は変更されません。」
つまり、BitLocker で保護した SSD は、ドライブが独自のハードウェア ベースの暗号化を実行すると主張しているかどうかに関係なく、プロセッサによって実行されるソフトウェア ベースの AES 暗号化に依存することになります。
SSDの暗号化技術を信頼している場合は、BitLockerにその暗号化を使用するように指示することもできますが、これはデフォルトではなくオプトイン機能です。また、自己暗号化SSDのファームウェアを信頼できなくなり、既にBitLockerを使用している場合は、一度復号化してから再度暗号化することで、既存のハードウェアベースの暗号化を一掃し、BitLockerのソフトウェアベースの暗号化に移行する必要があります。
BitLocker の初心者向けガイドは、Microsoft の暗号化ツールを使い始めるのに役立ちます。ただし、このツールにアクセスするには、特定のハードウェア機能と Windows 10 の Pro または Enterprise バージョンが必要です。Windows 10 の Home バージョンは BitLocker をサポートしていません。
自己暗号化SSDの安全性が完全に保証されていないのは残念です。それが彼らの得意とするところです。しかし、エンドユーザーが自分のデータが保護されていると思い込んでしまう可能性を回避し、BitLockerで安全策を講じたMicrosoftの姿勢は称賛に値します。
