Microsoftは、有効な捜索令状に基づきFBIにBitLockerの暗号化回復キーを提供したことを確認し、テクノロジー大手が法執行機関と暗号鍵を共有した事例として公に知られる初のケースとなった。
この開示は、グアムの連邦捜査当局が、同島のCovid失業支援プログラムにおける不正の証拠が含まれているとみられる、暗号化されたノートPC3台へのアクセスを求めた後に明らかになった。
BitLockerのクラウド保存が法的な脆弱性を生む仕組み
BitLockerは、現代のWindows PCで自動的に有効化されるMicrosoftのディスク暗号化ソフトウェアで、ユーザー情報を保護するためにハードドライブのデータを判読不能にする。
ユーザーは回復キーを自分のデバイスにローカル保存できる一方で、Microsoftは利便性のため、同社サーバー上でのクラウド保存を推奨している。
このクラウドベースの鍵管理により、パスワードを忘れたりログインがロックアウトされたりした場合でもデータを復旧できるが、同時に法執行機関による召喚状や令状の対象となるリスクにもさらされる。
「鍵の回復は利便性を提供する一方で、望まれないアクセスのリスクも伴うため、Microsoftは、鍵をどのように管理するかを決めるうえで顧客が最も適切な立場にあると考えています」と、Microsoftの広報担当者チャールズ・チェンバーレインは述べた。
MicrosoftはBitLocker回復キーに関する要請を年間およそ20件受けているが、多くは、ユーザーがMicrosoftのクラウド基盤にキーを保存していないため対応できないという。
同社は、鍵の開示については有効な法的命令にのみ従うことを強調した。
この事実は、2013年にMicrosoftのエンジニアがBitLockerにバックドアを仕込むよう求める政府の要請を拒否したと主張していた同社の立場とは、著しく対照的である。Forbesが報じた。
ジョンズ・ホプキンス大学の准教授であるマット・グリーンは、AppleやGoogleといった競合が法執行機関に暗号化支援を提供できるのであれば、Microsoftも同様の能力と圧力に直面すると指摘した。
この事例は、暗号化システムにおけるユーザーのプライバシー、データセキュリティ、そして法執行機関のアクセスの間にある継続的な緊張関係を浮き彫りにしている。特に、クラウドベースの鍵保存のような利便性機能が潜在的な脆弱性を生み出す場合はなおさらだ。
翻訳元: https://gbhackers.com/microsoft-shared-bitlocker-recovery-keys-with-fbi/
