[Vista/SV2008] セキュリティ: EFS(ファイル暗号化)機能に不具合、”処理前のファイル”が抹消されず復元可能

Microsoftによると、EFS(ファイル暗号化)機能に不具合があり、”処理前のファイル”を抹消しない(通常のファイル削除操作とする)ために、復元ツールで復元可能なことがあるようです。

EFSとは

対象となるのは、EFS(Encrypting File System)機能です。ファイルやフォルダのプロパティを開いて、詳細設定を開くと、「内容を暗号化してデータをセキュリティで保護する」というチェックがあります。

図: "属性の詳細"ウインドウ (Vista)

Windows Vistaでは Business, Enterprise, Ultimate の3エディションに完全搭載されていて、ノートパソコンなどを持ち歩く際に、安全のためにと使う人も多いと思います。

ちなみに、暗号化したまま(何の対策も無く)うっかり再インストールしてしまった日には泣き寝入りするしかないので、注意が必要です。詳しい解説は他所に譲ります。

不具合とは

Microsoftによると、今回の不具合の動作はこうです。

  1. ファイルの暗号化を開始する。
  2. 処理中に電源が落ちるなどの事態を想定して、 EFS0.tmp という名称でバックアップコピーを作成する。
  3. 実際に暗号化を施す。
  4. 暗号化が完了したので、 EFS0.tmp を削除する。
  5. とは言っても、”ゼロフィルによる削除を行わないので”、復元ツールによって復元出来る可能性がある。

ファイルを暗号化したと思っていたら、実は処理中のファイルから復元が可能という、残念な不具合です。

解決方法

この不具合については、サポートページで修正プログラムが公開されていて、「View and request hotfix downloads」からダウンロード可能です。ただし、いわゆる「とりあえず」のもので、別の不具合が起こる可能性がまれにあります。ご注意ください。

なお、回避策(WORKAROUND)として、Cipher.exe ユーティリティを使って削除済み領域に残ったデータを消去する方法が紹介されています。

わきあがる疑問

また、今回の不具合を考慮すると、次のような疑問が浮かびます。

  • Windows XPなどのEFS機能には、同様の不具合は存在しないのか?
  • 他の暗号化ツール、暗号化ソフトウェアに、同様の不具合は存在しないのか?

検証求む。

No comments yet.
TOP