Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

自動暗号化ドライブの脆弱性(CVE-2018-12037およびCVE-2018-12038):Dell Encryption製品での軽減手順。

Summary: SSDの脆弱性395981の軽減に関する懸念事項を示します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

対象製品:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - 自己暗号化ドライブ管理

Dellは、「脆弱性メモVU# 395981このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。」の説明に従って、特定の自己暗号化SSDのハードウェア暗号化の脆弱性に関する報告を認識しています。これらの脆弱性が製品に与える可能性のある影響を調査し、可能な限り迅速にアップデートを提供しています。私たちの最優先事項は、お客様を保護し、データとコンピューターのセキュリティを確保することです。

メモVU#395981に記載されている脆弱性は、多くのSEDとともに、一般的にeDriveとして参照されるハードウェアアクセラレーションによるBitLocker実装によって保護されているドライブへのアクセスを可能にする脆弱性の特性を定義します。

ハードウェアアクセラレーション暗号化でBitLockerによって管理されるドライブは、eDriveの仕様に基づいています。これは必ずしも自動暗号化ドライブ(SED)であるとは限りません。eDriveの仕様はIEEE 1667に準拠している必要があります。これは、多くのSelf-Encrypting Drive ManagementテクノロジーのOPAL2仕様とは異なります。

eDrive(ハードウェア高速化BitLockerのMicrosoft名)の仕様要件については、 https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。を参照してください。

この脆弱性は、一部のSEDにも影響します。その多くは TCG OPAL および OPAL2 仕様に該当します。この仕様はここで定義されています。 https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

この脆弱性は、Dell Encryptionソフトウェアではなくディスク自体に影響を及ぼしますが、すべてのドライブがこの脆弱性の影響を受けるわけではありません。Dellはベンダーと協力して影響を判断し、影響を受けるドライブに対して修復計画を確実に実施しています。

Cause

-

Resolution

Dell Encryptionにおける脆弱性の軽減に関する懸念

Dell Self-Encrypting Drive Managementソリューションを使用しているお客様には、コンピューターにセキュリティのレイヤーを追加することを提案します。これは、潜在的に脆弱であると識別されたドライブを搭載したコンピューターに、これらのディスクのアップデートされたファームウェアが利用可能になるまで、Dellのポリシーベースの暗号化を階層化することによって実現されます。

SEDでポリシーベースの暗号化を実行しているデバイスは、System Data Encryptionキーを使用してSEDを暗号化する機能を有効にすることができます。詳細については、次を参照してください:「自己暗号化ドライブを搭載したシステムでDell Encryption EnterpriseまたはDell Encryption PersonalのSDE暗号化を有効にする方法

または、ボリューム全体の暗号化ソリューションが必要な場合は、ハードウェアベースの暗号化をBitLockerからのソフトウェアベースの暗号化として置き換えることができます。

Dell Encryptionを使用してBitLockerのハードウェアベースのアクセラレーションを無効にする方法

DellのBitLocker Managerをお持ちのお客様で、VU#395981に記載されている問題に対して脆弱である可能性を懸念されているお客様は、ポリシーをアップデートすることでリスクを軽減できます。Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives を使用してポリシーを無効にし、オペレーティング システム ドライブとリムーバブル ドライブに対して同じポリシーを無効にします(各ドライブ タイプには、ハードウェアアクセラレーションを活用するための同様のポリシーがあります(利用可能な場合))、これらのドライブでハードウェアアクセラレーション暗号化を活用する機能が無効になります。ドライブが保護のためにeDriveまたはハードウェアアクセラレーション暗号化を活用していた場合、ドライブはソフトウェアベースの方法論を使用してデータを復号化し、再暗号化します。

これらのポリシーはエンドポイントベースのポリシーであり、ドライブタイプ(オペレーティングシステムボリューム、固定データボリューム、リムーバブルストレージ)のそれぞれのカテゴリ内に設定された BitLocker 暗号化 ポリシー内にあります。Dell Security Management Server内のポリシーの変更の詳細については、次を参照してください。Dell Data Protection Serverのポリシーを変更する方法

Dell Data Security Management Serverを実行していないお客様の場合、ハードウェアベースの暗号化を許可する設定(ドライブで利用可能な場合)は、GPOまたはレジストリー エントリーを使用して管理できます。このデータは、以下のMicrosoftのサイトにあるGPOのポリシーの下にあります。

エンドポイントが影響を受ける可能性があるかどうかを判断する方法を教えてください。

ドライブが脆弱かどうかを迅速に見つけたい場合は、デルが DellOpalCheckerLiteスクリプトを使用してSEDを識別し、そのステータスを判断するために使用できるユーティリティです。

注:このユーティリティーは、チャット(米国のみ)または電話を使用してDell Data Security ProSupportから提供できます。この記事の下部にあるリンクを参照してください。

また、 DellOpalCheckerLite は、コマンド ラインを使用して実行できます。分析するディスクのドライブ番号が必要です。たとえば、オペレーティング システムに提示される最初のディスク(通常はオペレーティング システム ドライブ)を分析するには、次の構文を使用します。

DellOpalCheckerLite.exe 0

追加のディスク番号が存在する場合は、スクリプトに追加の行を入力して、コンピューター内の他のディスクのステータスを出力できます。

各インスタンスについて、 DellOpalCheckerLite が実行されると、 ERRORLEVEL コンピューター変数が更新され、ディスクのステータスを分析するために呼び出すことができます。

このリストには、 DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 インストールが成功することを示します。
NOT_SUPPORTED 1 このディスクがサポートされていないことを示します。
SUPPORTED_OWNED 2 ディスクはサポートされていますが、AdminSPはすでに所有されていることを示します。
COMPATIBILITY_ERROR 3 互換性の問題を示します。
NO_OPAL_DISK 4 これがOpalディスクではないことを示します。
LOCKINGSP_ACTIVE_NOT_OWNED 6 SPのロックがアクティブであり、AdminSPにSID == MSIDがあることを示します(以前のテストは失敗した可能性があります)。
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 SPのロックがアクティブであるが、AdminSPはすでにDellOpalCheckerテストSIDによって所有されていることを示します(以前のテストは失敗した可能性があります)。
OTHER_ERROR 50 その他の不特定エラー
PARAMETER_ERROR 100 無効なパラメーター
MUST_BE_ADMINISTRATOR 101 テストを実行するには、プログラムの実行レベルが管理者である必要があります。

OPAL準拠でサポートされているドライブの出力例を次に示します(リターン コードERRORLEVEL = 0)。

ERRORLEVEL = 0の例
図1: (英語のみ)ERRORLEVEL = 0の例

注:Dell Encryption Policy Based Encryptionクライアント、ソフトウェアベースのフル ディスク暗号化クライアント、およびDell Data Guardianは、これらのドライブのハードウェアアクセラレーション暗号化を使用していないため、この種の脆弱性にさらされません。

この脆弱性の詳細と特定の製造元による注意事項については、次を参照してください。

米国コンピューター緊急準備チーム:https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Samsung:https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Crucial:http://www.crucial.com/usa/en/support-ssd このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

脆弱性に関する詳細情報:https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.