SamsungやCrucial製SSDの暗号化機能に脆弱性

411: Socket774 2018/11/07(水) 16:26:49.37 ID:Ayxhw1aHp
SamsungやCrucial製SSDの暗号化機能に脆弱性
https://pc.watch.impress.co.jp/docs/news/1152070.html

 研究チームは、ファームウェアのリバースエンジニアリングで、異なるベンダーの複数のSEDのドライブ暗号化の実装を分析。
その結果、重大なセキュリティ上の脆弱性を発見し、多くの場合、
パスワードや秘密鍵を知らなくても、暗号化されたドライブの内容を復号でき、暗号化を完全にバイパスできたとする。
 
 SSDにローレベルアクセスが可能なJTAGでアクセスし、実装を検証した結果、
問題のSSDではパスワードと秘密鍵が紐付けられておらず、パスワード変更のコマンドを使ってパスワードを書き換えてしまうことで、
データにアクセスが可能となっていたという。

 問題の影響が確認されているのは、Crucialの「MX100」、「MX200」、「MX300」2.5インチSSDと、
Samsungの「T3」、「T5」ポータブルSSD、「840 EVO」、「850 EVO」2.5インチSSDだが、
チームではそのほかのSSDについても、特定の設定(セキュリティ設定“高”や“最大”など)の場合、
同様の問題を抱えている可能性を指摘している。

635: Socket774 2018/11/06(火) 03:50:51.25 ID:DzPL1JW10

セキュリティホール?あったみたい 

640: Socket774 2018/11/06(火) 04:40:39.27 ID:HaRNy/En0
>>636
これだな
かなりヤバそうだ

636: Socket774 2018/11/06(火) 03:55:57.47 ID:7LXnykXF0
>>635
Security researchers have busted the encryption in several popular Crucial and Samsung SSDs
https://techcrunch.com/2018/11/05/crucial-samsung-solid-state-drives-busted-encryption/
Google翻訳
Radboud大学の研究者は、人気のあるクルーシャルとサムスンのソリッドステートドライブ(SSD)に重大なセキュリティ上の欠陥があることを発見しました。

えええ、急に安くなったのこのせいか??

メジャーブランドも駄目とか何を信じたら良いの??

671: Socket774 2018/11/06(火) 09:23:52.60 ID:qeYmNN/k0
>>636
> えええ、急に安くなったのこのせいか??
NANDフラッシュが安くなったからでしょう
・積層数が増えて容量あたりの価格が下がった
・現世代の製造が成熟して歩留まり率が上がった
・供給量の増加分ほど需要が伸びてない
https://pc.watch.impress.co.jp/docs/news/1130677.html

ハードウェアによるクローズドソースな暗号化が脆弱でも、自分の場合は暗号化してない
必要ならソフトウェアによるオープンソースな暗号化を行えばいい

Sponsored Link

637: Socket774 2018/11/06(火) 04:07:21.78 ID:wB2Cvvpd0
サンディスクも安くなってるから、サンディスクもなにかあるのか

638: Socket774 2018/11/06(火) 04:11:28.40 ID:C+EkC2Jt0
そもそも暗号化してないからいいや

664: Socket774 2018/11/06(火) 08:56:20.54 ID:jcHZwemY0
>>638
暗号化絡みなら、つい最近CrucialがMX100/MX200に
対策用の新Firmを出してたから、FirmUpで直るんジャネ?

643: Socket774 2018/11/06(火) 05:29:01.79 ID:k/k6ufer0
記事にあるのはMLC以前のものだな
Intelがないと言うより調べてないって感じだな
これ全てのSSDが該当するはず

1T買ったけど微妙な容量だし
ゲーム用で使えば問題無さそうだな

644: Socket774 2018/11/06(火) 05:43:17.91 ID:VRXBdMRnp
>>643
MX300も850EVOも3DTLCで現行の一つ前のモデルだぞ
他の多くのモデルもダメだろうとも書かれてるが

646: Socket774 2018/11/06(火) 06:39:57.82 ID:sJj8/ZDy0
KingなんちゃらのSSDのほうが安全ってこと!?

649: Socket774 2018/11/06(火) 06:55:11.87 ID:55WstxGi0
そりゃメジャーなメーカーのほうが解析されるしな

647: Socket774 2018/11/06(火) 06:48:19.23 ID:3pyT//D00
暗号化の話だから家庭で普通に使ってるぶんには関係ないな

648: Socket774 2018/11/06(火) 06:52:28.74 ID:BGXuXMm20
>ファームに問題
ならコントローラ毎になっていない事に違和感

650: Socket774 2018/11/06(火) 06:57:19.91 ID:k7vEeeA10
IntelのX25-M G2ではHDDパスワード掛けると分鎮化するバグはあった
過去の事例に学ばない二社だな

651: Socket774 2018/11/06(火) 07:31:10.69 ID:nmbs8X4V0
そもそも暗号化機能自体がそんな使われとるんか・・・

652: Socket774 2018/11/06(火) 07:51:48.57 ID:k7vEeeA10
企業ではそれなりに使われてる
内規で必ずHDDパスワードで保護しないといけない会社は普通に良くある

今回のバグはHDDパスワード掛けた瞬間分鎮化とか、暗号化自体されないとかじゃないので騒ぎにはならんと思うが、
普通に盗まれたら暗号化されてないのと同じようなもんで確実にデータは抜かれる(抜かれてる)と思った方がいいね

699: Socket774 2018/11/06(火) 10:59:08.92 ID:nmbs8X4V0
SSDのハードウェア暗号化とか使おうと思ったことないから正直そこで値崩れするなら歓迎しかない・・・

『SamsungやCrucial製SSDの暗号化機能に脆弱性』へのコメント

  1. 名前:名無しの自作er 投稿日:2018/11/07(水) 18:48:49 ID:e08623fe2 返信

    暗号化してない人って壊れたら修理に出さずに捨てちゃうの?
    自分は修理に出したり中古で売ったりするから全部暗号化してるわ
    HDDも大容量になって消去が大変すぎるから今は暗号化するのが標準だし

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 19:34:13 ID:b8b16793b 返信

      ストレージの消去なんて寝る前にコマンド1つ打つだけじゃね
      暗号化は当然だし暗号化してるからって消去しないのもありえん

      • 名前:名無しの自作er 投稿日:2018/11/07(水) 23:08:12 ID:3f9c7e3e2 返信

        8TB HDDとか真面目にMil規格で消去したら24hじゃとても終わらんぞ……。
        ただの0fillなら何とか終わるかも?

        • 名前:名無しの自作er 投稿日:2018/11/08(木) 17:44:24 ID:ebe4cdc13 返信

          なんでHDDの話が出てくるの?

          • 名前:名無しの自作er 投稿日:2018/11/09(金) 21:06:33 ID:a65a2e882 返信

            HDDも大容量になって消去が大変すぎるから今は暗号化するのが標準だし

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 23:07:55 ID:4e20bdf6e 返信

      修理上がりを使うぐらいなら新品買うし、廃棄するなら物理的にドリルで
      穴開けるか☆型ドライバーで蓋開けてプラッタに直接傷入れてから処分するわ。

    • 名前:名無しの自作er 投稿日:2018/11/10(土) 04:30:12 ID:376609dff 返信

      エロとか入ってたら修理に出さずに捨てるわ。

  2. 名前:名無しの自作er 投稿日:2018/11/07(水) 18:51:59 ID:5d868672a 返信

    SSDを物理的に取られなきゃいいだけだな

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 19:23:02 ID:d079449e0 返信

      一般家庭なら泥棒にでも入られなきゃ問題ないけど、
      企業は盗難や紛失対策で暗号化するのが規定になってるからなあ
      これどうするんだろうなあ

      • 名前:名無しの自作er 投稿日:2018/11/07(水) 21:29:31 ID:bb85fac13 返信

        普通はbitlocker使うだろ

  3. 名前:名無しの自作er 投稿日:2018/11/07(水) 18:55:28 ID:e2f3190fc 返信

    よくメルトダウンとかの話題にいるセキュリティに不安おじさんは早くHDDに出戻りしないと

  4. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:01:32 ID:6969528be 返信

    暗号化しなきゃ恥ずかしいようなデータでも詰まってんのか?

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 19:46:34 ID:31bb447e1 返信

      個人のしょーもないエロデータとかはGAFAあたりの大手に全部筒抜け鷲づかみにされてるし今更騒いだところでなあ・・・

      • 名前:名無しの自作er 投稿日:2018/11/07(水) 23:09:10 ID:d1990cf15 返信

        毎回思うけど、その4社に搾取されるのと悪意ある個人に握られるのとじゃ大きく違うだろ
        つーかまずその手の主張するやつは自分の住所と電話番号晒して欲しいわ

        • 名前:名無しの自作er 投稿日:2018/11/08(木) 00:22:33 ID:8af72aed2 返信

          とはいえ溜め込んでるデータ全てを暗号化するほど神経質になることかと言われてもあまり実感は涌かんのよね
          その人物が有名人だったり資産家だったりしたならそれをネタに脅しをかけてくるのもまあ分かるんだけどさ
          今時ネットを使ってて表沙汰になった事件とは無縁だから自分の個人情報がどこにも一切漏れていないと信じ切ってる奴なんてまずいないだろうし

  5. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:02:27 ID:e7de17532 返信

    俺のSSDのむふふな画像を盗む気だな

  6. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:04:20 ID:141c42ac5 返信

    暗号化してないやつは元々脆弱ってことけ?

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 20:08:37 ID:a37f4abb4 返信

      暗号化してようが、してなかろうが脆弱性に関係無かったってだけ。
      暗号化してたやつは無意味な暗号化・複号化処理に余計なリソースを消費してた。

  7. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:10:25 ID:ab063fd39 返信

    860 Evoはセーフなのか、アウトなのか・・・

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 19:47:11 ID:bed26e2f2 返信

      恐らくアウトだろ。
      サイレント修正するとは思えん。

  8. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:13:10 ID:7e691f19f 返信

    買わなきゃサムチョン

  9. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:25:53 ID:10e57297f 返信

    SSD自体に暗号化機能があるのを知らなかった
    BitLocker使えば問題ないよね

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 20:29:50 ID:0df86de4b 返信

      BitLockerのデフォルト設定ではSSDに暗号化機能があるとそっちを使う
      gpeditで設定変えないと駄目ってこと

      • 名前:名無しの自作er 投稿日:2018/11/07(水) 20:50:00 ID:10e57297f 返信

        「固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する」ってやつですか?
        知らずに使っていたのか…

  10. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:42:29 ID:39bc908bc 返信

    別に暗号化するほど重要なデータも入ってねーよw
    エロ動画と画像ばっかりやわw

  11. 名前:名無しの自作er 投稿日:2018/11/07(水) 19:43:42 ID:a9a6944c2 返信

    今時一個人レベルにできる対処なんて存在しないさ
    狙われたら終わり
    企業や法人の殆んどはSSDベンダーの暗号化機能を使わず、サードパーティ製の暗号化ソフトを導入してるんであまり影響がない気がする
    要は意識高い系が危ないということか

  12. 名前:名無しの自作er 投稿日:2018/11/07(水) 20:05:02 ID:26112c8bf 返信

    苦しアル

  13. 名前:名無しの自作er 投稿日:2018/11/07(水) 20:42:57 ID:7e691f19f 返信

    キムチSSDなんて使ってるバカいるんだw 気持ち悪っ くさっ

    • 名前:名無しの自作er 投稿日:2018/11/07(水) 23:23:45 ID:55139a91c 返信

      何言ってるんだい?半導体世界一なんだが
      あとクルーシャルはアメリカ企業だぞ

      • 名前:名無しの自作er 投稿日:2018/11/08(木) 04:26:24 ID:7ed35830d 返信

        この手の奴に関わったらダメ
        ネットの汚れた情報で脳内が汚染された可哀想な人だからね

  14. 名前:名無しの自作er 投稿日:2018/11/07(水) 20:58:39 ID:59e5de8fb 返信

    むしろどこの何なら大丈夫なんだ?って状態だなw

  15. 名前:名無しの自作er 投稿日:2018/11/07(水) 21:01:14 ID:7635f5f8e 返信

    意外とこの手の話を寒クルどころかssd全般で聞かんな
    まあcpuとかソフトと比べてあんまりやる事ないんかも知れんが

  16. 名前:名無しの自作er 投稿日:2018/11/07(水) 21:26:10 ID:46777e6b7 返信

    重要なデータは紙に残すかスタンドアローンにしとくべき?
    家庭用なら見られて不味いデータ入れないから良いや

    • 名前:名無しの自作er 投稿日:2018/11/08(木) 13:30:22 ID:309a596de 返信

      JTAGってデバイスと物理的に接続するデバッグ用インターフェースだから、盗難されたときのデータ窃取の話だと考えればいい。盗難されたときにハードウェアで暗号化したSSDでも暗号化が突破されるよ、って話だからな

      よくわからんかったら鍵付きRARに圧縮しとけってことさ

    • 名前:名無しの自作er 投稿日:2018/11/10(土) 04:31:44 ID:376609dff 返信

      紙も取られたりコピー取られたら終わりやろ

  17. 名前:名無しの自作er 投稿日:2018/11/07(水) 22:25:31 ID:5d868672a 返信

    シェア1位、2位が狙われてるな
    有象無象の中華メーカー最強かな

    • 名前:名無しの自作er 投稿日:2018/11/08(木) 13:20:35 ID:309a596de 返信

      いや、シェア上位の商品だから優先して調査された。しかもある程度で回っている型番
      新しいのは大丈夫とか、有象無象のポンコツ中華は安全というのではなくて、単に「未調査(同様欠陥がある可能性が高い)」って意味

  18. 名前:名無しの自作er 投稿日:2018/11/07(水) 23:22:03 ID:55139a91c 返信

    うげー。メインで使ってるクルーシャル(MX200,MX300)は全滅か
    サムは960 EVOだからセーフだったけど・・・

    • 名前:名無しの自作er 投稿日:2018/11/08(木) 00:56:41 ID:47538e31f 返信

      君は明記されてないと理解できないのか?
      960EVOはリストに載ってないからセーフって話にはならんぞ

    • 名前:名無しの自作er 投稿日:2018/11/08(木) 09:01:29 ID:8aecd9c1c 返信

      何を読んでるんだ?
      intelやサムスン製は「調べてない」だけだ。

  19. 名前:名無しの自作er 投稿日:2018/11/08(木) 06:38:12 ID:0a57313e6 返信

    JTAGによるアクセス経路残している時点でダメだろw
    最低限JTAG機能自体にロックかけて、特殊な操作しないと有効化されない、ぐらいしないとアカン。

  20. 名前:名無しの自作er 投稿日:2018/11/08(木) 21:36:44 ID:8477ac923 返信

    あんだけ食品から工業製品まで韓国製がどうのこうの言っておいて、SSDだけサムスン製を推すのが多くて気味悪かったわ。他にもちゃんとしたメーカーあるのに工作員多すぎ。

    • 名前:名無しの自作er 投稿日:2018/11/08(木) 23:31:35 ID:599565dd0 返信

      SAMSUNG
      SKHynix
      Intel
      Micron
      Toshiba(under SKHynix investment)
      WD/Sandisk

      ゆーてもこの6社しか存在しないしな。ランダムでも1/2で当たる。
      DRAMはもっと状況悪くて2/3だしなぁ。

    • 名前:名無しの自作er 投稿日:2018/11/09(金) 16:53:53 ID:72e9a8aeb 返信

      まあシェア1位だから信者がいてもおかしくない

    • 名前:名無しの自作er 投稿日:2018/11/09(金) 21:21:06 ID:e50b06cde 返信

      ひとくくりにしてたらメイドインチャイナなんて買えないじゃん

  21. 名前:名無しの自作er 投稿日:2018/11/09(金) 12:22:21 ID:704813da9 返信

    暗号化してる奴、そんなに多いのか?
    みんなHOMEばっかり使ってるのに、嘘だろ??

  22. 名前:♪(´ε` ) 投稿日:2018/11/09(金) 15:13:13 ID:5b7a028de 返信

    サムチョン終了のお知らせ
    https://www.recordchina.co.jp/b660437-s0-c20-d0058.html

  23. 名前:名無しの自作er 投稿日:2018/11/10(土) 13:00:08 ID:9408aea06 返信

    ストレージ自体に暗号化機能が備わっててそれの脆弱性なのか。
    暗号化していないならそもそも問題無く、ソフトウェアで暗号化してるやつにも影響は無いと。