「TPM＋BitLockerなら安心」は本当か？──Windows 11時代のPCセキュリティ再考

情シスに再考迫られる　TPMとBitLockerで「守れているつもり」になっていた領域

　ここで、TPMとBitLockerが果たしている役割を一度整理しておこう。TPMは、いわばPC内部にある「鍵を保管するための独立した金庫」であり、BitLockerはその金庫から取り出した鍵を用いて、ディスク全体のデータを暗号化する仕組みだ。

　多くの企業では、利便性を優先し「TPMのみ」モードでBitLockerを運用している。この設定では、PCの電源を入れるとTPMがシステムの整合性を検証し、問題がなければ自動的に暗号鍵をリリースしてOSを起動させるというものだ。ユーザーが追加のPINコードを入力する手間が省けるため、標準的な運用として定着している。

　もちろん、TPM＋BitLockerという組み合わせは、紛失・盗難対策の強力な基盤であることに変わりはない。しかし、この仕組みは「PC内部のコンポーネント間の通信までは攻撃されない」という前提で設計されている。木下氏は、「TPMの仕様そのものが悪いのではなく、当時はリスクとされていなかったものが、攻撃手法の進化によりリスクに変わってしまった」と指摘する。

TPMバス攻撃とは何か　TPM Guardが埋める「最後の隙間」

　TPM仕様の“隙間”として狙われているのが、TPM-CPU間のバス通信を盗み取る「TPMバス攻撃」だ。

　TPMに保管されている鍵そのものは強固に守られており、チップから直接取り出すことは困難だ。しかし、PCが起動する際、TPMからメインメモリやCPUへと鍵が転送される瞬間がある。このとき、マザーボード上の配線（ハードウェアバス）を流れるデータは、従来の実装では“平文”のままだ。

　攻撃者は、PCの裏蓋を開け、マザーボード上の特定の配線に小さなプローブ（接続ピン）を接触させる。すると、バス上を流れるBitLockerの復号鍵を、文字通り「盗み聞き」できてしまう。前述の通り、この攻撃に必要なものは20ドル程度の安価なデバイスと数時間のトレーニング、そしてわずか1分弱の時間だけだ。鍵さえ手に入れば、たとえハードディスクが暗号化されていても、攻撃者は別のPCにディスクを接続することで、すべてのデータを自由に読み取ることが可能となる。

　つまり、主流となっている「TPMのみ」という構成は、こうした物理的なアクセスをともなう攻撃に耐えられるようには設計されていなかった。木下氏は、この問題を「マザーボード上のバスという、実装上の死角」と表現する。従来のセキュリティ基盤に残された、“最後の隙間”とも言える脆弱性を解決するために登場したのが、「HP TPM Guard」だ。

「HP TPM Guard」の仕組みとねらい

　HP TPM Guardは、これまでのPCが抱えていた物理攻撃への脆弱性を、ハードウェアレベルで根本的に解決しようとするソリューションである。

　その仕組みは、CPUとTPMの間に「鍵のかかった専用のチューブ」を通すようなイメージだ。従来のPCでは、2つの間を流れる重要な鍵情報がむき出しの状態で配線を流れていたが、HP TPM Guardではこの通信経路そのものを暗号化する。

　具体的には、TPMチップ内部でデータを暗号化してから送信し、それを受け取るCPU側で復号する。これにより、たとえ物理的に配線を傍受（スニッフィング）されても、流れているのは暗号化された無意味なデータの羅列情報のため、攻撃者は復号鍵を手に入れられない。

　また、HP TPM Guardは「プラットフォーム・バインディング」と呼ばれる機能も提供する。これは、TPMチップを特定のCPUやマザーボードと“暗号的に紐付ける”ものだ。万が一、攻撃者がTPMチップを物理的に取り外して別マシンに載せ替えたとしても、そのTPMは元の環境以外では、設計上利用できないようになっている。

　木下氏は、「この仕組みを実現するためには、IntelやAMDといったCPUメーカー、そしてTPMチップベンダーと密接に連携し、ハードウェアそのものを物理的に作りなおす必要があった」と、開発の難しさを説明する。HP TPM Guardは、BitLockerという既存の仕組みを否定するのではなく、その周囲に残されていた物理的な攻撃の穴をハードウェアレベルで、可能な限り小さくすることをねらったものだ。