自動暗号化ドライブの脆弱性(CVE-2018-12037およびCVE-2018-12038):Dell Encryption製品の軽減手順
Summary: SSDの脆弱性 395981 緩和すべき懸念事項
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
対象製品:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption - BitLocker Manager
- Dell Encryption - 自動暗号化ドライブ管理
Dellは、「脆弱性メモVU# 395981
メモVU#395981に記載されている脆弱性は、多くのSEDとともに、一般的にeDriveとして参照されるハードウェアアクセラレーションによるBitLocker実装によって保護されているドライブへのアクセスを可能にする脆弱性の特性を定義します。
ハードウェアアクセラレーション暗号化を使用してBitLockerによって管理されるドライブは、 eDrive 仕様に基づいています。これは、必ずしも 自己暗号化ドライブ(SED)であるとは限りません(eDrive仕様ではIEEE 1667 準拠が必要であり、多くの自己暗号化ドライブ管理テクノロジーのOPAL2仕様とは異なります)。
eDrive(ハードウェアアクセラレーションによるBitLockerのMicrosoft名)の仕様要件については、こちらを参照してください:https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
この脆弱性は、一部のSEDにも影響を与えます。その多くは、 TCG OPAL および OPAL2 仕様に該当します。この仕様は、以下で定義されています https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
この脆弱性は、Dell Encryptionソフトウェアではなくディスク自体に影響を及ぼします。この脆弱性はすべてのドライブに影響を与えるわけではありません。Dellはベンダーと協力して影響を判断し、影響を受けるドライブに対して修復計画を確実に実施しています。
Dell Encryptionにおける脆弱性の軽減に関する懸念
Dell Self-Encrypting Drive Managementソリューションを使用しているお客様には、コンピューターにセキュリティのレイヤーを追加することを提案します。お客様は、潜在的に脆弱であると特定されたドライブを搭載したコンピューターに、これらのディスクのアップデートされたファームウェアが利用可能になるまで、Dell Policy Based Encryptionを重ねる必要があります。
SEDでポリシーベースの暗号化を実行しているデバイスは、System Data Encryptionキーを使用してSEDを暗号化する機能を有効にすることができます。詳細については、次を参照してください:「自己暗号化ドライブを搭載したシステムでDell Encryption EnterpriseまたはDell Encryption PersonalのSDE暗号化を有効にする方法」
または、ボリューム全体の暗号化ソリューションが必要な場合は、ハードウェアベースの暗号化をBitLockerからのソフトウェアベースの暗号化として置き換えることができます。
Dell Encryptionを使用してBitLockerのハードウェアベースのアクセラレーションを無効にする方法
DellのBitLocker Managerをお持ちのお客様で、VU#395981に記載されている問題に対して脆弱である可能性を懸念されているお客様は、ポリシーをアップデートすることでリスクを軽減できます。Dell Security Management Serverで固定 データドライブにハードウェアベースの暗号化を使用するポリシーを無効にし、オペレーティング システム ドライブとリムーバブル ドライブに同じポリシー(使用可能な場合は、各ドライブ タイプにハードウェア アクセラレーションを活用する同様のポリシーがある)を無効にすると、これらのドライブでハードウェア アクセラレーション暗号化を利用する機能が無効になります。ドライブが保護のためにeDriveまたはハードウェアアクセラレーション暗号化を活用していた場合、ドライブはソフトウェアベースの方法論を使用してデータを復号化し、再暗号化します。
これらのポリシーはエンドポイント ベースのポリシーであり、ドライブ タイプ(オペレーティング システム ボリューム、固定データ ボリューム、リムーバブル ストレージ)のそれぞれのカテゴリー内で設定された BitLocker暗号化 ポリシー内にあります。Dell Security Management Server内のポリシーの変更の詳細については、次を参照してください。Dell Data Protection Serverのポリシーを変更する方法
Dell Data Security Management Serverを実行していないお客様の場合、ハードウェアベースの暗号化を許可する設定(ドライブで利用可能な場合)は、GPOまたはレジストリー エントリーを使用して管理できます。このデータは、以下のMicrosoftのサイトにあるGPOのポリシーの下にあります。
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
エンドポイントが影響を受ける可能性があるかどうかを判断する方法を教えてください。
ドライブに脆弱性があるかどうかを迅速に確認する必要があるユーザー向けに、Dellは DellOpalCheckerLiteは、スクリプトを使用して SED を識別し、そのステータスを判断するために使用できるユーティリティです。
注:Dell Data Security ProSupportでは、チャット(米国のみ)または電話を使用してこのユーティリティーを提供できます。この記事の最後にあるリンクを参照してください。
スクリプト「 DellOpalCheckerLite コマンドラインを使用して実行できます。分析するディスクのドライブ番号が必要です。たとえば、オペレーティング システムに提示される最初のディスク(通常はオペレーティング システム ドライブ)を分析するには、次の構文を使用します。
DellOpalCheckerLite.exe 0
追加のディスク番号が存在する場合は、スクリプトに追加の行を入力して、コンピューター内の他のディスクのステータスを出力できます。
インスタンスごとに、 DellOpalCheckerLite が実行されると、 ERRORLEVEL コンピューター変数が更新され、ディスクの状態を分析するために呼び出すことができます。
このリストには、 DellOpalCheckerLite)をリロードするには、次を実行します。
| SUPPORTED_NOT_OWNED | 0 | インストールが成功することを示します。 |
| NOT_SUPPORTED | 1 | このディスクがサポートされていないことを示します。 |
| SUPPORTED_OWNED | 2 | ディスクはサポートされていますが、AdminSPはすでに所有されていることを示します。 |
| COMPATIBILITY_ERROR | 3 | 互換性の問題を示します。 |
| NO_OPAL_DISK | 4 | これがOpalディスクではないことを示します。 |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | SPのロックがアクティブであり、AdminSPにSID == MSIDがあることを示します(以前のテストは失敗した可能性があります)。 |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | SPのロックがアクティブであるが、AdminSPはすでにDellOpalCheckerテストSIDによって所有されていることを示します(以前のテストは失敗した可能性があります)。 |
| OTHER_ERROR | 50 | その他の不特定エラー |
| PARAMETER_ERROR | 100 | 無効なパラメーター |
| MUST_BE_ADMINISTRATOR | 101 | テストを実行するには、プログラムの実行レベルが管理者である必要があります。 |
OPAL準拠でサポートされているドライブの出力例を次に示します(リターン コードERRORLEVEL = 0)。
注:Dell Encryption Policy Based Encryptionクライアント、ソフトウェアベースのフル ディスク暗号化クライアント、およびDell Data Guardianは、これらのドライブのハードウェアアクセラレーション暗号化を使用していないため、この種の脆弱性にさらされません。
この脆弱性の詳細と特定の製造元による注意事項については、次を参照してください。
米国コンピューター緊急準備チーム:https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung:https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Crucial:http://www.crucial.com/usa/en/support-ssd
脆弱性に関する詳細情報:https://www.kb.cert.org/vuls/id/395981/
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.