• Truecrypt攻撃のコンセプト実証コード、「メイド攻撃」実行の恐れ (ITmedia エンタープライズ)
• Windowsの暗号化機能に「メイド攻撃」の弱点？　Microsoftが反論 (ITmedia エンタープライズ)

例えばホテルの部屋などに、TrueCryptでディスクを暗号化したノートPCを宿泊客が置いていると想定し、その部屋に侵入した人物が、攻撃コードを仕込んだUSBメモリを使って宿泊客のPCを起動する方法で、ディスク暗号化のパスフレーズを記録する不正コードに感染させる。記録したパスワードはネットワーク経由で外部に送信するといった手口が考えられるという。

Truecrypt攻撃のコンセプト実証コード、「メイド攻撃」実行の恐れ

　これに対してMicrosoftはWindowsセキュリティブログで、こうした攻撃が成立する可能性があることは認めたものの、「実社会でBitLockerを利用するユーザーにとってのリスクは比較的低い」と反論した。

　その理由として、攻撃者が標的とするPCに2度にわたって物理的にアクセスしなければならないことなどを挙げ、ほかの暗号化製品にも同様の問題はあると指摘。さらに、こうした攻撃理論は新しいものではなく、Microsoftは2006年の時点で攻撃成立の可能性があることを率直に認めていたとしている。

Windowsの暗号化機能に「メイド攻撃」の弱点？　Microsoftが反論

TrueCrypt や BitLocker がどうのこうのと言うより、物理的にさわられたらダメな気も…