米プリンストン大学の研究者らが2月21日(現地時間)、暗号化されたHDD上のデータを簡単に解読するためのテクニックをまとめた論文を公開した。現在、MicrosoftのBitLockerやAppleのFileVaultなど、HDD内のデータをまるごと暗号化することでデータの盗難を防ぐ技術が製品化されているが、今回発表された手法を用いればそうした技術を無視してのデータの読み出しが容易になる。
このテクニックをまとめた論文(PDF形式)は、プリンストン大学のCenter for Information Technology Policy(CITP)の専用サイト上で公開されている。またHDD暗号化システムを回避してデータを取り出す手順を示したビデオ映像がYouTube上にアップロードされており、今回発表された論文の内容を視覚的に確認できる。
今回の論文では、PCに内蔵されたメモリの状態に着目している。現在、PCに使用されているメモリはDRAMと呼ばれるもので、つねに電源が供給されている状態でなければDRAMチップ内に記録されたデータ内容を保持することができない。だが論文によれば、個体差こそあるものの、電源供給が遮断されてから数秒間程度はデータの多くをそのまま維持しており、その後しだいに失われるデータ量が増え、数分後にはそのデータのほとんどが失われた状態となる。ここで、これらチップの表面をマイナス50度以下に急速に冷却することでデータの消失スピードが激減し、電源供給遮断から5分が経過しても1%以下のエラー率でデータを保持することが可能になるという。
論文で示された手順では、コンピュータをシャットダウンする前にメモリモジュールを露出させ、そこに"カン"入りエアダスターの中身を吹き付けて急速に冷凍させる。後はメモリを抜き出して、他のマシン等に取り付けて読み出すだけだ。実行状態のマシンであれば、前述のBitLockerといった暗号化システムで使用される暗号キーの情報がメモリ内に残っているため、冷却効果でデータを保持しているうちにメモリ内容を読み出し、暗号キーの情報を読み出す。暗号キーさえあればデータの復元は容易なため、これらセキュリティを簡単に破れるという仕組みだ。
またYouTubeの映像で公開されているもう1つのテクニックは、メモリ内のデータがすぐにリフレッシュしないことを利用して、専用のプログラムを使って暗号キーの抽出をメモリ上から行うというものだ。例えば、起動中のPCに外部ドライブを接続して再起動、外部ドライブを起動ドライブとすることで専用プログラムを動かし、メモリ内のデータを探索して暗号キーを抽出する。
今回のテクニックはBitLockerといったシステムそのものの脆弱性にはあたらないが、データ保護の仕組みとしては最も安全なものの1つとして挙げられている技術でさえ、簡単に破る方法が存在することを示したものになる。