セイテクエンジニアのブログ かつて山市良と呼ばれたおじさんのブログ vol.32 BitLockerのススメ、非暗号化ドライブは無防備過ぎる
2024年08月01日配信
2024年08月16日更新
執筆者:山内 和朗
もし、会社からノートPCを貸与されているのだとしたら、今すぐBitLockerドライブ暗号化でC:ドライブが暗号化保護されていることを確認してください。暗号化されていない場合、そのPCのWindowsの管理者権限を奪うことは容易いことです。ノートPCの盗難や紛失に遭ってからではもう手遅れです。
「BitLockerドライブ暗号化」は、ボリューム全体を暗号化して保護するWindowsのセキュリティ機能の1つです。この機能は、稼働中のシステムに対してオンラインでの保護(ローカルまたはネットワーク経由でのファイルアクセスに対する保護)を提供するものでは全くありません。OSが稼働していないオフラインのOSディスクや、データディスク、リムーバブルメディアに対する保護であり、紛失、盗難、または不正に停止されたPCからのデータの漏洩という脅威に対する有効な備えです。物理的なアクセスが制限されるサーバーでは、サーバー機の筐体を開けるまで不正侵入されない限り、オフライン攻撃の脅威は高くないでしょう。しかし、持ち歩くことのあるモバイルPCやノートPCの場合、紛失や盗難を想定して、OSドライブ(および存在するならデータドライブ)を暗号化しておくべきです。
Windows 10/11のPro、Enterprise、Educationエディションを実行しているPCで、BitLockerドライブ暗号化をサポートしているデバイス(TPM 1.2以降、BitLocker対応のパーティション構成など)では、Microsoftアカウントや組織(仕事用または学校)のアカウント(Microsoft Entra IDアカウント)で初めてサインインすると、自動的にOSドライブ(C:ドライブ)のBitLockerドライブ暗号化がオンになります。
ローカルアカウントやActive Directoryのドメインアカウントでサインインする場合は、自動的にオンになることはありません。「BitLockerの管理」コントロールパネルで手動でオンにする必要があります(画面1)。オンにするには管理者権限が必要であるため、管理者権限を持たないユーザーの場合は、管理者に依頼する必要があります。
画面1 BitLockerドライブ暗号化でC:ドライブを暗号化する
Windows 10/11 HomeエディションはBitLockerドライブ暗号化をサポートしていません。代わりに「デバイス暗号化」を使用できる場合があります。※ こちらも利用するにはデバイスがデバイス暗号化をサポートしている必要があります(「システム情報」《msinfo32.exe》の「システムの要約¥デバイス暗号化のサポート」で確認できます)。BitLockerドライブ暗号化およびデバイス暗号化のシステム要件については、以下のドキュメントで確認してください。
BitLocker の概要(Microsoft)
Windows でのデバイスの暗号化(Microsoft)
※ 2024年7月のセキュリティ更新プログラムの既知の問題として、デバイスの号化に関連する問題が報告されています。この記事がきっかけでデバイス暗号化をオンにしようとしている場合は、問題の解決を待ってから行ってください。なお、この問題は構成済みのBitLockerドライブ暗号化には影響しません。
デバイスは、2024 年 7 月のセキュリティ更新プログラムを使用して BitLocker 回復で起動する可能性があります(Windowsメッセージ センター)
※ この既知の問題は2024年8月のセキュリティ更新プログラムで修正されました。
暗号化されていないOSドライブは、紛失や盗難の際のデータ漏えいだけでなく、管理者権限を簡単に奪われてしまうというリスクもあります。例えば、会社のルールとして、社員にローカルPCの管理者権限を付与していない場合でも、その方法を使用すればローカルAdministrator(既定で無効)を有効化して、自分だけが知るパスワードを設定される。あるいは、管理者権限を持つローカルユーザーを作成されてしまうといったことが可能です。管理者権限を得たユーザーは、勝手にアプリをインストールしたり、システム設定を変更したりするかもしれません。
その方法とは、パスワードを忘れてしまった場合のリセット方法として良く知られた、しかしまったくお勧めできない方法(するべきではない方法)です。「Windows回復環境(Windows Recovery Environment≪WinRE≫)」や「Windowsプレインストール環境(Windows Preinstallation Environment≪Windows PE、WinPE≫)」(Windowsのセットアップメディアなど)でPCを起動し、コマンドプロンプトを開いて、cmd.exeをあるシステムファイルに上書きします。再起動してサインイン画面が表示されたら、とある場所をクリックすることでコマンドプロンプトがシステム(NT AUTHORITY¥SYSTEM)権限で開きます。あとは、NET USERコマンドを使用してローカルアカウントを操作するだけです(画面2、画面3、画面4)。詳しいことは伏せますが、インターネットを検索すればその方法はすぐに見つかるでしょう。高度なハッキングテクなど一切不要です。簡単なCOPYコマンドとNET USERコマンド、管理者権限を特定のユーザーに与えるにはNET LOCALGROUPコマンド、これだけで管理者権限の奪取が可能なのです。
画面2 WinREやWinPEでPCを起動し、オフラインのWindowsのあるシステムファイルをcmd.exeで上書きする
画面3 サインイン画面にシステム権限のコマンドプロンプトが出現。NET USERコマンドでAdministratorを有効化し、よくあるパスワードを設定
画面4 ローカルのAdministratorでサインイン成功
WinREやWinPEが利用できない(ブートデバイスが制限されているなど)場合でも、ディスクを取り出して、USB変換ケーブルで別のPCに接続すれば、システムファイルの書き換えは可能です。そのディスクを元のPCに戻して起動すれば、あとはもう想いのままです。
BitLockerドライブ暗号化でOSドライブが暗号化されている場合、WinREでPCを起動し、コマンドプロンプトを開始しようとすると、OSドライブの暗号化ロックを解除するための回復キー(XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX)の入力が要求されるようになります(画面5)。正しい回復キーを入力しない限り、OSドライブのロックは解除できません。ドライブをスキップしても、ロックされたOSドライブのファイルシステムにアクセスすることはできません。WinPEメディアでの起動や、ディスクを取り出して別のPCに接続する場合もアクセスするにはロックの解除が必要です(画面6)。
画面5 WinREのコマンドプロンプトを起動すると、OSドライブのロックを解除するための長い回復キーの入力が求められる
画面6 WinPEのコマンドプロンプトでOSドライブに直接的にアクセスしようとしたところ
このようにOSドライブが暗号化されていれば、システムファイルを改変される心配はありません。
WindowsのBitLockerのセキュリティ機能をバイパスして、データを取り出すという脆弱性が過去に何度か報告され、修正されてきました。このブログの1回~6回に取り上げたWinREの更新プログラムのエラー問題は、この脆弱性に関連するWinREの更新で起きたことです。この脆弱性は“悪用される可能性は低い”と評価されるものですが、BitLockerを使用していないから関係ないと軽視しないでください。BitLockerドライブ暗号化で保護されていないドライブは、そもそもBitLockerのセキュリティ機能をバイパスする必要がありません。今回示したように、デバイスに物理的にアクセスすることさえできれば、簡単に管理者権限が奪われてしまいます。
BitLocker のセキュリティ機能のバイパスの脆弱性 CVE-2022-41099(Microsoft Security Responce Center)
メーカー製PCなど、一定の条件を満たすWindows 10およびWindows 11デバイス(Homeエディションを含む)では、「BitLocker自動デバイス暗号化」によって初期のOOBE(Out-of-Experience)セットアップ時に自動的にBitLockerによるOSドライブの保護が有効(中断された状態から有効)になります。BitLocker自動デバイス暗号化の要件は、Windows 11バージョン24H2で緩和され、対象のデバイスは大幅に増える予定です。
仕様上、ローカルアカウントやActive Directoryアカウントでセットアップした場合、この機能が働くことはありません。しかし、インターネットを検索すると“ローカルアカウントでセットアップしたのにいつの間にか有効になっていた”“(ハードウェアの変更などで)回復キーの入力が求められたが、回復キーがわからない”“Microsoftアカウントで利用しているが、Microsoftアカウントに回復キーが保存されていない(見つからない)”“BitLockerを有効にした覚えがないのに、Windows Updateをしたら有効になり、さらに回復キーの入力が求められた(そして回復キーはわからない)”といったBitLocker自動デバイス暗号化に関係するトラブルが国内外で多数見つかります。
新しいWindows 10/11デバイスを導入したら、まず、コントロールパネルの「BitLockerの管理」アプレット(control /name Microsoft.BitLockerDriveEncryption)を開いて「回復キーのバックアップ」を実行し、回復キーをMicrosoftアカウントに保存、またはファイルに保存、または印刷して控えておくことを強くお勧めします。BitLocker自動デバイス暗号化をオフにする方法については、以下の公式ドキュメントを確認してください。
デバイスの暗号化|BitLocker の概要(Microsoft Learn)
2024年10月08日 | メモ. 必要な機能は標準装備で意外と簡単! Hyper-Vホストクラスターの構築 |
---|---|
2024年10月07日 | vol.49 電子メールによる通知|BOMおじさんとZabbix(5) |
2024年10月03日 | ITニュース. Windows 11バージョン24H2(OSビルド26100)の一般提供開始 |
2024年10月03日 | vol.48 「アクティブチェック: 不明」の理由は大文字小文字|BOMおじさんとZabbix(4) |
2024年10月02日 | ITニュース. Windows Server 2025、ホットパッチ(プレビュー)提供開始と最新プレビュービルドの公開 |
2024年09月30日 | vol.47 Windows Serverを監視対象に追加する|BOMおじさんとZabbix(3) |
2024年09月26日 | vol.46 Zabbix UIのセットアップと日本語化|BOMおじさんとZabbix(2) |
2024年09月25日 | ITニュース. 企業のパッチ管理の基盤「WSUS」が非推奨へ、どうする!?オンプレのパッチ管理 |
2024年09月24日 | vol.45 BOMを担ぐおじさん、Zabbixと戯れる |
2024年09月19日 | vol.44 USBドライブのマウントを強制解除|コマンド&スクリプト強化週間 |