BitLockerで暗号化されたドキュメントをオンラインの脅威から保護する方法は?

BitLockerは、ユーザーがドライブ全体を暗号化できるようにするWindowsの組み込みの独自の暗号化プログラムです。また、ファームウェアレベルのマルウェアによって調整された変更など、不正な変更からシステムを保護するのにも役立ちます。この機能は多くのシナリオで役立ちますが、それでも攻撃に対して脆弱です。たとえば、ハッカーはコンピュータのTPMチップを取り外して暗号化キーを抽出し、ハードドライブにアクセスできるようにすることができます。





当然、「BitLockerは十分に安全ですか?」と尋ねるでしょう。この投稿では、その質問に関する回答を提供します。動的なセキュリティ環境を考慮しているため、状況を白黒で見ることはできません。したがって、この投稿では、BitLockerで発生する可能性のある一般的な問題について説明します。また、これらの問題を回避して、必要な適切な保護を取得する方法についても説明します。

BitLockerは、すべてのWindowsPCで使用できるわけではありません

最近では、標準の暗号化を備えたオペレーティングシステムを見つけることも珍しくありません。ユーザーがMac、iPad、Chromebook、iPhone、およびLinuxシステムを購入すると、信頼性の高い暗号化テクノロジーを利用できることは注目に値します。一方、Windows 10は、まだすべてのコンピューターで暗号化を提供しているわけではありません。残念ながら、MicrosoftはBitLockerをWindows 10Homeにバンドルしていません。

BitLockerが提供するものと同様の機能を備えた「デバイス暗号化」を備えたPCがあります。ただし、このテクノロジは、フルバージョンのBitLockerと比較して制限されています。 Windows 10 Homeエディションのコンピューターが暗号化されていない場合は、だれでもハードドライブを簡単に取り外すことができることに注意してください。また、起動可能なUSBドライブを使用してファイルにアクセスすることもできます。



残念ながら、この問題を回避する唯一の方法は、Windows 10Professionalエディションにアップグレードするための追加料金を支払うことです。それが完了したら、コントロールパネルに移動してBitLockerを有効にする必要があります。 Microsoftのサーバーへの回復キーのアップロードをオプトアウトしてください。

BitLockerは多くのソリッドステートドライブ(SSD)ではうまく機能しません

SSDがハードウェア暗号化をサポートしていることを宣伝しているメーカーを目にするかもしれません。このタイプのドライブを使用していてBitLockerを有効にしている場合、オペレーティングシステムは、ドライブが暗号化タスクを処理すると見なします。結局のところ、Windowsは通常、操作を最適化し、ドライブに処理可能なタスクを実行させます。
残念ながら、この設計には抜け穴があります。研究者によると、多くのSSDはこのタスクを適切に実装できません。たとえば、オペレーティングシステムは、BitLockerがアクティブ化されていると信じているかもしれませんが、実際には、バックグラウンドで多くのことを行っていません。このプログラムが暗号化タスクを実行するためにSSDにサイレントに依存することは理想的ではありません。ほとんどの場合、この問題はWindows10およびWindows7オペレーティングシステムに影響します。

この時点で、おそらく「BitLocker for Windows 10は効果的ですか?」と質問しているでしょう。

オペレーティングシステムはBitLockerが有効になっていることを確認する場合がありますが、SSDがデータを安全に暗号化できないようにしているだけです。そのため、犯罪者は、SSDの実装が不十分な暗号化をバイパスしてファイルにアクセスする方法を見つける可能性があります。



この問題の解決策は、ハードウェアベースの暗号化ではなくソフトウェアベースの暗号化を使用するようにBitLockerに指示することです。これは、ローカルグループポリシーエディターを介して実行できます。

続行するには、以下の手順に従ってください。

  1. キーボードで、Windowsキー+ Rを押します。これを行うと、[実行]ダイアログボックスが起動します。
  2. [ファイル名を指定して実行]ダイアログボックスで、「gpedit.msc」(引用符なし)と入力し、[OK]をクリックします。
  3. ローカルグループポリシーエディターが起動したら、次のパスに移動します。
    コンピューターの構成管理用テンプレート Windowsコンポーネント BitLockerドライブの暗号化
  4. 右側のペインに移動し、[固定データドライブのハードウェアベースの暗号化の使用を構成する]オプションをダブルクリックします。
  5. オプションから[無効]を選択し、[OK]をクリックします。

上記の手順を完了したら、ドライブの暗号化を解除してから再暗号化して、変更を有効にします。
TPMチップは取り外し可能です

コンピューターのトラステッドプラットフォームモジュール(TPM)は、BitLockerが暗号化キーを格納する場所です。おそらく、このハードウェアコンポーネントは改ざんされにくいです。残念ながら、ハッカーはオープンソースコードを使用するか、フィールドプログラマブルゲートアレイを購入してTPMからキーを抽出することができます。これを行うとハードウェアが破壊されますが、攻撃者は暗号化をバイパスしてキーを正常に抽出できます。



理論的には、ハッカーがコンピュータを手に入れると、ハードウェアを改ざんしてTPM保護をバイパスします。これを実行すると、暗号化キーを抽出できるようになります。ありがたいことに、この問題には回避策があります。ローカルグループポリシーエディターを使用して、起動前のPINを要求するようにBitLockerを構成できます。

[TPMで起動PINを要求する]オプションを選択すると、システムは起動時にPINを使用してのみTPMのロックを解除できます。基本的に、PCが起動したら、PINを入力する必要があります。したがって、TPMに追加の保護レイヤーを提供します。 PINがないと、ハッカーはTPMから暗号化キーを抽出できません。

スリープモードのコンピュータの脆弱性

Windows 10でBitLockerドライブ暗号化を使用する方法を学ぶことは重要ですが、セキュリティを最適化する方法を知ることも同様に重要です。このプログラムを使用するときは、スリープモードを無効にする必要があります。 PCの電源が入ったままで、暗号化キーがRAMに保存されていることを知っておく必要があります。一方、コンピュータを起動した後もPINを使用できるため、休止状態モードを使用できます。



スリープモードを使用している場合、ハッカーがコンピュータにアクセスすると、システムを起動してサインインするだけでファイルにアクセスできます。また、ダイレクトメモリアクセス(DMA)を使用してRAMの内容を取得できる場合もあります。これで成功すると、BitLockerキーを取得できるようになります。

この問題を回避する最も簡単な方法は、コンピューターをスリープ状態のままにしないことです。シャットダウンするか、休止状態モードにすることができます。起動前のPINを使用して、起動プロセスを保護することもできます。そうすることで、コールドブート攻撃からコンピュータを保護します。また、休止状態から再開する場合でも、起動時にPINを要求するようにBitLockerを構成する必要があります。

この記事で説明したすべての脅威には、PCへの物理的なアクセスが必要です。ただし、コンピュータは依然としてオンライン攻撃に対して脆弱です。したがって、セキュリティを強化したい場合は、Anti-Malwareのような信頼性が高く強力なアンチウイルスを使用する必要があります。このツールは、データ漏洩を防ぐためにブラウザ拡張機能をスキャンします。それはあなたのオンライン活動を追跡するクッキーさえ取り除きます。データを盗むために悪意のあるプログラムがバックグラウンドで実行されないようにすることができます。

それで、あなたはどう思いますか? BitLockerは十分に安全ですか?

以下のコメントであなたの考えを教えてください!