マイクロソフトがFBIにBitLockerの回復キーを提供するという判断は、暗号化システムがどのように設計されているのか、そしてキーをクラウドに保存することがセキュリティを弱めるのかどうかに、改めて注目を集めている。
このテック大手は金曜日、BitLockerで暗号化されたWindowsデバイスについて、2025年にFBIへ回復キーを引き渡したことを確認した。同社は、当該キーにアクセスでき、連邦捜査当局から適法な法的要請を受けた場合には、連邦捜査当局による裁判所命令に引き続き従うとしている。
Windows PCに保存されたデータを暗号化し、恒久的なデータ損失を避けるために回復キーをクラウドアカウントへバックアップするようユーザーに促すBitLockerは、消費者、企業、政府の各環境で広く利用されている。
マイクロソフトは、BitLockerのサービスを、パスワードを忘れた場合にユーザーがデータへアクセスできる便利な方法だと説明している一方で、サービス提供者に保存された回復キーは、ユーザーの直接的な管理の外側にアクセス経路を作り出す。専門家は、この設計上の選択が重大なセキュリティ上の懸念を生むと同時に、法執行機関が暗号そのものを破ろうとすることなく暗号化データへアクセスできるようにしてしまうと指摘する。
「キー回復は利便性を提供する一方で、望まれないアクセスのリスクも伴います」と、マイクロソフトの広報担当者チャールズ・チェンバーレイン氏はForbesへの声明で述べた。「マイクロソフトは、顧客こそが判断するのに最も適した立場にあると考えています。」
強力なデバイス暗号化により直接アクセスが難しくなる中、FBIをはじめとする連邦機関は、テック企業からのこの種の協力にますます依存している。捜査当局は暗号を破ろうとするのではなく、企業が技術的に提供可能な能力を保持している場合、令状や召喚状を通じて回復キーの提出を求める。
セキュリティ研究者によれば、このアプローチは規模の拡大、コスト削減、利便性をもたらし得る一方で、無許可の侵害の可能性や、厳密に定義された事案を超えてアクセスを拡大する将来的な政策変更など、重大なリスクももたらすという。専門家は、クラウド暗号化が常にデータを有意に保護するわけではないこと、特に提供者が暗号鍵へのアクセスを保持している場合にはなおさらであることを、長年にわたり警告してきた。
より容易な回復という利点と引き換えになるとしても、鍵の生成と保管を完全にユーザーの管理下に置くことで、クラウドベースのセキュリティリスクを抑えられる代替モデルも存在する。そうしたアーキテクチャでは、マイクロソフトのような企業はそのデータにアクセスする技術的能力を持たないため、捜査当局のためにデバイスを解除することはできない。
翻訳元: https://www.databreachtoday.com/microsoft-confirms-court-ordered-bitlocker-key-releases-a-30593
