第1回 ハードディスクのパスワードロックはなぜ破られた?
日本シーゲイト株式会社
2008/5/27
情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する(編集部)
ATAパスワード保護についての事実
コンピュータのハードディスクに保存したデータを保護する際、ATAパスワードを利用することが多いと思います。しかし多くの場合、悪意を持った攻撃者は簡単にパスワードロックを外すことができ、ドライブ上のすべてのデータにアクセスすることが可能になります。
個人、あるいは企業のコンピュータからの機密情報の盗難は、アメリカでも最も急増している犯罪の1つで、数え切れないほどの組織がノートPCから数百万件もの機密情報を盗まれ、データ盗難の被害を経験しています。このような情報の盗難は組織に大きな影響を与え、事件への対応、弁護士費用、是正措置、信用喪失および顧客喪失のコストは計り知れません。さらに、経営陣が機密保護違反として個人責任を追及されることさえあるのです。
ガートナーや米調査会社のIDCなどの業界アナリストによれば、全体の80%近くのノートPCには重要な企業データが格納されていると推定され、この割合は近年さらに増加しています。企業サーバ、大容量ストレージ、クライアントPCなどに保存されている機密データは、どんなときであっても保護されなければなりません。安定した経営のためにはデータの保護を行うことが必要不可欠となりつつあります。個人も組織も、機密データを犯罪者の手に渡さず、かつコスト効率に優れた使いやすい対策を模索しています。
ATAパスワードロックとは
ハードディスクに記録されたデータに対して、第三者による不正なアクセスを防ぐために、多くのハードディスクメーカーではパスワードロックの機能を提供しています。これはその名のとおり、ハードディスクをパスワードでロックする機能です。BIOSやWindows、あるいはOSレベルでのパスワード保護と異なり、この機能はハードディスク本体そのものに実装されています。OSレベルやアプリケーション・レベル、またBIOSレベルのパスワード保護を解除できたとしても、パスワードロックで保護されたディスクドライブでは、ドライブに対して正しいパスワードを入力しないかぎりデータを読み出すことはできません。このパスワードロック機能はANSIによって策定されたATA規格に含まれているため、ATAパスワードロックと呼ばれています。
多くの個人や組織がハードディスクに保存されたデータの保護にATAパスワードロックを採用しており、これは一見優れた保護手法に思えます。しかし機密情報や価値の高い情報、あるいは法規制の対象となるような情報の保護をATAパスワードロックだけに頼ることは推奨できません。なぜならほとんどの場合、悪意を持った攻撃者はATAパスワードロックを簡単に解除して、ハードディスク上のすべてのデータにアクセスできるようになるからです。
マイケル・クルーカー氏は、ATAパスワードロックが安全ではないことを、身をもって体験する事件に遭遇しました。クルーカー氏は2002年9月、「DriveLock」というATAパスワードロック機能が搭載されている理由からコンパックのPCを購入しました。クルーカー氏によれば、このコンピュータのマニュアルには、マスターパスワードとユーザーパスワードを両方とも紛失した場合、ハードディスクは使用できなくなり、コンパック社員でもデータにアクセスできなくなると記載されていました。
後にクルーカー氏は違法にサイレンサー付きライフルを販売していたとして逮捕され、彼のPCは証拠品として押収されました。警察当局は、彼のPCのATAパスワードを知らなかったにもかかわらず、そのパスワードロックを解除し、すべてのデータにアクセスすることができました。その結果、彼の有罪を示すたくさんの証拠が見つかったのです。この事件はかなりの注目を集めました。なぜなら、その後クルーカー氏はPCの広告に偽りがあるとして、コンピュータを販売した小売店とコンピュータメーカーを告訴したからです。
1/3 |
 |
| Index | |
| ハードディスクのパスワードロックはなぜ破られた? | |
 |
Page1 ATAパスワード保護についての事実 ATAパスワードロックとは |
| Page2 ツールで簡単にATAパスワードを解除できるという事実 ATAパスワードロックはどのように破られるか |
|
| Page3 安全な保護の唯一の手段は「ハードディスクの暗号化」 データ流出を防ぐには「暗号化」が最低ライン |
|
データを守るためにできること バックナンバー
- 第1回 ハードディスクのパスワードロックはなぜ破られた?
- 第2回 ソフトウェアによる暗号化手法の知っておくべき特性
- 最終回 暗号化ハードディスクのあるべき姿とは
 |
データを守るためにできること 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。