Dellクライアント製品の不正なBIOSパスワード リセット ツール

DSA参照情報：「DSA-2020-119: Dell Client Products Unauthorized BIOS Password Reset Tool Vulnerability」

Details: 

一部のDellクライアント ビジネス向けおよび個人ユーザー向けプラットフォームは、承認済みのお客様がパスワードを忘れた場合に支援するように設計されたパスワード リセット機能をサポートします。Dellでは、BIOSリカバリー パスワードを生成することができるパスワード生成ツールを認識しています。Dellによって承認されていないツールは、BIOSパスワードおよびBIOS管理（ハードドライブ）のHDDパスワードをリセットするために、物理的に存在する攻撃者によって使用されることがあります。システムへの物理的なアクセスが可能な未認証の攻撃者は、この脆弱性を悪用して、BIOSセットアップ構成、HDDアクセス、およびBIOS起動前認証のセキュリティ制限をバイパスする可能性があります。

解決策: 

Dellでは、ビジネス向けプラットフォームでの未承認のリセット パスワードの使用について、いくつかの緩和策と制限事項を提供しています。お客様は、セキュリティのベスト プラクティスに従って、デバイスへの不正な物理アクセスを防止することをお勧めします。また、BIOSセットアップからマスター パスワード ロックアウト機能を有効にして（法人向けプラットフォーム - 2024年3月以降のInsyde BIOSリリースが搭載されたすべてのプラットフォーム、および2011年以降のその他すべてのプラットフォームで利用可能）、管理者、システム、HDDのパスワードがリセットされないように保護することもできます。

詳細については、Dellのセキュリティ アドバイザリーを参照してください：「DSA-2020-119: Dell Client Products Unauthorized BIOS Password Reset Tool Vulnerability」

よくあるお問い合わせ(FAQ)：    

Q: 影響を受けるモデルを教えてください。

A: これは、ほとんどのDellクライアント ビジネス向けシステムと、一部の個人ユーザー向けシステムに影響します。BIOS起動前パスワード プロンプト（Dell Security Manager）に次の識別子を表示するすべてのプラットフォームが対象となります

• <SERVICE TAG or HDD SN>-D35B
• <SERVICE TAG or HDD SN>-1F5A
• <SERVICE TAG or HDD SN>-595B
• <SERVICE TAG or HDD SN>-2A7B
• <SERVICE TAG or HDD SN>-1D3B
• <SERVICE TAG or HDD SN>-1F66
• <SERVICE TAG or HDD SN>-6FF1
• <SERVICE TAG or HDD SN>-BF97
• <SERVICE TAG or HDD SN>-E7A8

。Insyde BIOSプラットフォーム - お使いのプラットフォームがInsyde BIOSベースであるかどうかを確認するには、次の手順を実行します。

1. コンピュータの電源を入れます。
2. Dellのロゴ画面で、BIOSまたはシステム セットアップが表示されるまで、F2キーを数回押します。
3. または、One Time Boot Menuが表示されるまでF12キーを数回押し、メニューから［BIOS Setup］または［System Setup］を選択します。
4. Insyde BIOSプラットフォームの場合は、セットアップ ページ上部に「InsydeH2O Setup Utility」と表示されます。

Q: 不正なパスワード リセットからプラットフォームを保護するにはどうすればよいですか？

A: プラットフォームの保護を促進するには、お客様はいくつかの緩和策とベスト プラクティスに従う必要があります。

• マスター パスワード ロックアウト：これはBIOSセットアップで有効にすることができます。有効にすると、管理者、システム、HDDの各パスワードは、リカバリー パスワードを使用してリセットされることがなくなります。（法人向けプラットフォーム – 2024年3月以降のInsyde BIOSリリースが搭載されたすべてのプラットフォーム、および2011年以降のその他すべてのプラットフォームで利用可能）。  
• リカバリー パスワードを使用するには、ユーザーがシステムのある場所に物理的にいる必要があります。そのため、プラットフォームの物理的な保護に関しては常に練習が必要です。

Warning: ［Master Password Lockout］オプションが選択されていて、その後、お客様がパスワードを忘れた場合、Dellはパスワードのリカバリーを支援できません。プラットフォームは復旧不可能になり、マザー ボードまたはハード ドライブの交換が必要になります。

Q: このツールをリモートで使用してパスワードをリセットすることはできますか？

A: いいえ。リカバリー パスワードを使用するには、ユーザーがシステムのある場所に物理的にいる必要があります。そのため、プラットフォームの物理的な保護に関しては常に練習が必要です。

Q: このツールがプラットフォームで使用されたかどうかを判断する方法を教えてください。

A: リカバリー パスワードの使用は検出できます。リカバリー パスワードを使用すると、該当するBIOSパスワード（管理者/システム、またはBIOSで管理されているHDD）が削除されます。

Q: リカバリー パスワードを使用すると、HDD上のデータへのアクセスが許可されますか？

A: HDDパスワードの設定時に、HDDリカバリー パスワードが使用された場合にHDDを強制的に消去するオプションが表示されます。HDDパスワードの設定時にこのオプションを選択した場合、HDDリカバリー パスワードを使用するとHDDが消去されます。  したがって、データ アクセスは許可されません。このオプションが選択されていない場合、HDD上のデータは保持されます。ただし、HDD暗号化（BitLockerなど）が使用されている場合、データはアクセス可能ですが、ドライブ上の情報は漏洩から保護されます。

Q: リカバリー パスワードを使用すると、オペレーティング システムへのアクセスは許可されますか？

A: リカバリー パスワードを使用しても、OS認証情報をバイパスすることはできません。

Q: これは、外部のSED管理アプリケーションを使用してドライブ上にパスワードを設定する自動暗号化ドライブに影響しますか？

A:  このツールは、外部のSED管理アプリケーションによってプロビジョニングおよび管理される自己暗号化ドライブには影響しません。リセット ツールは、BIOSセットアップによって管理されるBIOSパスワードにのみ影響します。

Q: このツールは、BIOSファームウェアとプラットフォームのルート オブ トラストの整合性を侵害しますか？

A: リカバリー パスワードを使用しても、BIOSファームウェアの整合性が損なわれることはありません。BIOSファームウェアは、NIST 800-147署名検証保護に加えて、インテルBootGuard、インテルBIOSGuard、およびチップセット ファームウェア書き込み保護などの追加機能によって保護されています。このツールを使用すると、BIOSセットアップ インターフェイスへのアクセスが可能になります。これにより、［Secure Boot Enable］やTPM設定など、プラットフォームのセキュリティ設定を変更できるようになります。  

推奨記事

ここでは、このトピックに関連した役立つ可能性のある推奨記事をいくつか紹介します。

• 紛失したBIOSパスワードに対するデルサポート
• Dell Command | PowerShell ProviderのBIOSパスワード機能
• BIOS パスワードのリセットまたはクリア方法
• ハード ドライブおよびBIOSのパスワードの一般的な情報
• システムのBIOSをデフォルト設定にリセットしても、工場出荷時のBIOS設定と同じになるとは限らない