ハードディスクのパスワードロックはなぜ破られた？：データを守るためにできること（1）（2/3 ページ）

情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する（編集部）

[日本シーゲイト株式会社]

ツールで簡単にATAパスワードを解除できるという事実

　クルーカー氏のPCのATAパスワードセキュリティを無効化した方法について、詳細は明らかにされていません。しかし、このようなセキュリティメカニズムを破る手法は、それほど手間をかけなくても探し当てることができます。クルーカー氏の事件の場合、警察当局はATAパスワード解除を目的として設計された特別なツールを使用した可能性が最も高いとみられています。

　このようなツールの1つがワイ・イー・シー・インターナショナルの「Shinobi」で、アメリカでは1000ドル程度の価格で販売されています。その製品マニュアルには「ATAパスワードロック解除にかかる時間は2分未満」と記載されています。

　このShinobi以外にも、「ウルトレック」「ヴォゴン」「AFFラボラトリ」など、多数のベンダが類似の製品を提供しています。

図1　ワイ・イー・シー・インターナショナル製のATAパスワードツール「Shinobi」

　これらの製品は、警察当局などの司法関係者に対してのみ販売されています。実際にワイ・イー・シー・インターナショナルやここで挙げた企業は、ドライブのロックを解除する前に所有者が適切であるかを確認しています。しかし、それらを確認もせず不特定多数にロック解除ツールの販売やロック解除サービスの提供を行う、倫理観に欠ける企業もたくさん存在しています。

　ATAパスワードで保護されたハードディスクロックを解除するツールとスキルを備えた企業はたくさんあります。ATAパスワードロック解除をサービスとして行っているパスワード・クラッカーのCEO、ボブ・ウェイス氏によれば、同社は100ドル前後の手数料で、ロックされたハードディスクの90％を簡単にリカバリできるといいます。また、1000ドルもあれば、いかなるハードディスクでもパスワードセキュリティを解除できるとのことです。英国にあるデータトラック・ラボもATAパスワードの解除サービスを提供しており、あらゆるハードディスクのロックを解除できると公言しています。そのほかにも多数の会社が同じようなサービスを行っています。

ATAパスワードロックはどのように破られるか

　このようなATAパスワード解除ツールは、ロックを解除するための多くの手法を採用しています。ATAパスワード機能は業界標準規格に準拠していますが、セキュリティ機能の実装方法はハードディスクのメーカーごとに少しずつ異なります。ATAパスワード解除ツールの制作者たちは、パスワードを解除する方法を解明するために、あらゆる手法を駆使しています。もし特定のハードディスクのモデルをパスワード解除できたとすると、同じモデルの製品には同じ手法が使える可能性が高く、そのためハードディスクパスワードの解除ツールは、時間がたつにつれて対応する機種の数が増えていくのです。

　例えば、Shinobiのパンフレットには、東芝、シーゲイト、MDT、サムスン、ウェスタン・デジタル、富士通などのハードディスクドライブのパスワード解除が可能であると記載されています。また、ほかにも700種類を超えるモデルが挙げられています。

【注】 本記事は悪意を持った攻撃者に知識を与えることではなく、合法的なユーザーにATAパスワードの限界やリスクについて警告することが目的です。従って、ここでは、ATAパスワードによる保護を破るために取られる比較的一般的な手法についていくつか述べるにとどめます。

　ATAパスワード解除の一般的な手法の1つは、記憶領域の中からハードディスクのシステム情報が含まれている「サービス領域」を見つけることです。一般的にはこのサービス領域に通常のユーザーがアクセスすることはできません。しかし、悪意を持った攻撃者がこのサービス領域にアクセスする方法を見つけた場合、パスワード解除への足掛かりを与えることになります。このサービス領域にはATAパスワード機能を設定するフラグがあり、ATAパスワードが存在する場合は、このフラグと同じ場所にパスワードが保存されていると考えられます。

　サービス領域内のこの情報を見つける手法にはいくつかありますが、そのうちの1つは完全に同一なハードディスクを2台利用し、1台はATAパスワード機能をオンに、もう1台はオフにするというものです。その部分以外はまったく同一の2台のハードディスクのイメージを比較することで、フラグとパスワードの場所が判明します。この位置さえ分かれば、あとはフラグをオフにしてロック機能を無効にするか、パスワードを読み取るだけです。

　一部の製品モデルでは、サービス領域内のパスワードが暗号化されずに保存されています。1台のハードディスクのパスワードが分かっていれば、検索して特定のパスワード文字列を見つけることができ、これによって同じような製品のパスワードの保存位置を判別できます。従って、一度この情報が判明すれば、同一モデルの製品のデータを抜き出すことはたやすいのです。

　システムによっては、ロックされていない2台目のハードディスクを使用することで制御ソフトウェアをだまし、ロックされたハードディスクのパスワードを変更できるという別のテクニックが使えます。この場合の一般的な手順は、ロックされたハードディスクAをコンピュータから取り外し、ロックされていないハードディスクBに交換します。その後コンピュータを再起動すると、ATAパスワードがハードディスクBに設定されます。次にもう一度設定領域にアクセスして、ATAパスワードを変更するコマンドを実行します。現在のパスワードが要求された後、新しいパスワードが要求されます。ここで、新しいパスワードを設定するコマンドを発行する直前に再びハードディスクBを取り外し、パスワードが不明だった先ほどのハードディスクAと交換します。これでATAパスワードを変更するためのコマンドが発行され、当然、元のロックされたハードディスクA上のパスワードは新しいものへと再設定されます。