コールドブート攻撃データを盗むために使用されるさらに別の方法です。唯一の特別な点は、コンピュータ ハードウェアまたはコンピュータ全体に直接アクセスできることです。この記事では、コールド ブート攻撃とは何か、またそのような手法から身を守る方法について説明します。
コールドブート攻撃とは
でコールドブート攻撃またはプラットフォームリセット攻撃、コンピュータに物理的にアクセスできる攻撃者は、Windows オペレーティング システムから暗号化キーを取得するためにコールド リブートを実行してマシンを再起動します。
学校では、RAM (ランダム アクセス メモリ) は揮発性であり、コンピュータの電源がオフになっているとデータを保持できないと教えられました。彼らが私たちに伝えるべきだったのは…コンピューターの電源がオフになっている場合、データを長時間保持することはできません。つまり、RAM は電力供給不足によりフェードアウトするまで、数秒から数分の間データを保持し続けます。極短期間であれば、適切なツールを持っている人なら誰でも、USB スティックまたは SD カード上の別の軽量オペレーティング システムを使用して RAM を読み取り、その内容を安全な永続ストレージにコピーできます。このような攻撃をコールドブート攻撃と呼びます。
ある組織でコンピューターが数分間放置されたままになっていると想像してください。ハッカーはツールを適切な場所に設置し、コンピューターの電源を切るだけで済みます。 RAM が冷えると (データがゆっくりフェードアウトします)、ハッカーは起動可能な USB スティックを接続し、それを介して起動します。ユーザーはその内容を同じ USB スティックなどにコピーできます。
攻撃の性質はコンピュータの電源を切り、電源スイッチを使用して再起動することであるため、コールド ブートと呼ばれます。コンピューターを始めたばかりの頃に、コールド ブートとウォーム ブートについて学んだかもしれません。コールド ブートでは、電源スイッチを使用してコンピュータを起動します。ウォーム ブートでは、シャットダウン メニューの再起動オプションを使用してコンピュータを再起動するオプションを使用します。
RAMのフリーズ
これもハッカーの巧妙なトリックです。何らかの物質 (例: 液体窒素) を RAM モジュールにスプレーするだけで、RAM モジュールが即座に凍結します。温度が低いほど、RAM が情報を保持できる時間が長くなります。このトリックを使用すると、彼ら (ハッカー) はコールド ブート攻撃を成功裏に完了し、最大限のデータをコピーできます。プロセスを迅速化するために、彼らは、ハッキングされたコンピュータをシャットダウンした直後に起動される USB スティックまたは SD カード上の軽量オペレーティング システム上の自動実行ファイルを使用します。
コールドブート攻撃の手順
必ずしも誰もが以下に示すような攻撃スタイルを使用するわけではありません。ただし、一般的な手順のほとんどを以下に示します。
- 最初に USB から起動できるように BIOS 情報を変更します。
- 起動可能な USB を問題のコンピュータに挿入します。
- プロセッサが暗号化キーやその他の重要なデータをマウント解除する時間を確保できないように、コンピューターの電源を強制的にオフにします。適切なシャットダウンも効果があるかもしれませんが、電源キーを押すなどの方法で強制的にシャットダウンするほど成功しない可能性があることに注意してください。
- できるだけ早く、電源スイッチを使用してハッキングされているコンピュータをコールドブートします。
- BIOS 設定が変更されたため、USB スティック上の OS がロードされます
- この OS がロードされている間でも、RAM に保存されているデータを抽出するプロセスが自動実行されます。
- 宛先ストレージ (盗まれたデータが保存されている場所) を確認した後、コンピューターの電源を再度切り、USB OS スティックを取り外し、その場から離れます。
コールドブート攻撃でどのような情報が危険にさらされるのか
ディスク暗号化キーとパスワードは、危険にさらされる最も一般的な情報/データです。コールド ブート攻撃は通常、ディスク暗号化キーを不正に不正に取得することを目的としています。
適切なシャットダウンでは、ディスクのマウントを解除し、暗号化キーを使用してディスクを暗号化することが最後に行われるため、コンピュータの電源が突然オフになった場合でも、データがまだ利用できる可能性があります。
コールドブート攻撃から身を守る
個人レベルでは、シャットダウン後少なくとも 5 分間はコンピューターの近くにいることしか保証できません。もう 1 つの予防策は、電気コードを引っ張ったり、電源ボタンを使用してコンピューターの電源を切るのではなく、シャットダウン メニューを使用して適切にシャットダウンすることです。
これは主にソフトウェアの問題ではないため、あまりできることはありません。それはよりハードウェアに関連しています。したがって、機器メーカーは、コールド ブート攻撃を回避し保護するために、コンピューターの電源を切った後、できるだけ早く RAM からすべてのデータを削除する率先力を発揮する必要があります。
一部のコンピューターでは、完全にシャットダウンする前に RAM が上書きされるようになりました。それでも、強制的にシャットダウンされる可能性は常にあります。
BitLocker は PIN を使用して RAM にアクセスします。コンピューターが休止状態 (コンピューターの電源がオフになっている状態) であっても、ユーザーがコンピューターを復帰させて何かにアクセスしようとすると、まず RAM にアクセスするために PIN を入力する必要があります。ハッカーは次のいずれかの方法を使用して PIN を取得できるため、この方法も絶対確実ではありません。フィッシングまたはソーシャルエンジニアリング。
まとめ
上記では、コールド ブート攻撃とその仕組みについて説明しています。一部の制限により、コールド ブート攻撃に対して 100% のセキュリティを提供できなくなります。しかし、私の知る限り、セキュリティ会社は、単に RAM を書き換えたり、PIN を使用して RAM の内容を保護したりするよりも良い解決策を見つけようと取り組んでいます。
今すぐ読んでください:サーフィン攻撃とは?
