物理的アクセス攻撃に対する新たな防御対策「HP TPM Guard」について日本HP セキュリティエバンジェリストが解説！

PC本体の裏蓋を開け、あるデバイスを接続してストレージに設定されているBitLockerの元キーを抜き取る。その間わずか数十秒という早さで完了してしまう、恐ろしい物理攻撃「TPMバス攻撃」が注目されている。正規の復元キーによってデータを入手することが可能なため、痕跡が残りづらいこの手法に対応するには何が必要か。悪意の概要とその対策となり得るHPの最新ソリューションをHPの木下氏に解説していただこう。

BitLockerの復元キーを盗む「TPMバス攻撃」

企業や組織の情報をめぐり、あらゆる悪意が次々と新たな攻撃手法を展開していることは既に皆様もご存じのことかと思う。OSやアプリケーションが狙われるだけでなく、物理的な手法をとることもあり、肩越しからPC画面を盗み見る「ショルダーハッキング」などはその典型だ。もっと暴力的な手口になると、PCの盗難なども含まれ、対策としてSSDなどのストレージを暗号化したり、MDM（Mobile Device Management）によるリモート消去を実行したりするなどの手段がとられてきた。

「HPでは、これらの悪意に対応できるよう、背後からの盗み見を自動検知して画面にスクリーンをかける『HP Sure View』や、電源がオフの状態でもリモート操作により、PCロックやデータ消去が命令できる『HP Protect and Trace with Wolf Connect』などを展開してきました」と語るのはHP エバンジェリストの木下氏だ。

そんな中、物理的な手段のひとつとして、ある悪意の手法に注目が集まっている。

Windowsの標準的なセキュリティ機能として、ドライブを暗号化してデータを保護する「BitLocker」がある。これは機密情報を安全に保つためのものとされ、デバイスが紛失・盗難され、ストレージが抜き取られたような場合でも、データを暗号化することで漏えいを防ぐものとして利用されている。

「安価な専用デバイスを使用してBitLockerの復元キーが盗まれるという事例に注目が集まっています。これはBitLockerの脆弱性によるもので、PCのマザーボードに直接アクセスできる環境があれば、簡単にストレージの情報を手に入れることが可能です」と木下氏。

この悪意の手法にはいろいろな呼称がついているが、一般的に「TPMバス攻撃」と呼ばれており、わずか20ドル程度で手に入るハードウェアを利用することで、マザーボード上のTPMチップとCPUチップの間に極短時間の間に流れるデータを傍受することができるのだという。

「TPMとは『Trusted Platform Module』の略で、独立したハードウェアセキュリティチップです。復元キーやパスワードの管理などを担当しています。法人向けのノートPCでは、標準的に搭載されており、ここで保管される復元キーをCPUへ送るわずかな隙を狙ってその情報を盗みとります」と木下氏は解説を続ける。

BitLockerの復元キーが手に入れば、PCからストレージを抜き取り、データをクローンすることは簡単だ。「悪意ある組織がPCを一時的に入手し、裏蓋を開けて直接基板上のある部分に特殊なデバイスを接続してBitLockerの復元キーを盗みます。その間はわずか1分もかかりません。その後、盗んだ正規の復元キーを使ってデータを盗み取るので、PCを元通りにして相手に返せば痕跡は残らない可能性があります」と木下氏はいう。その手口については動画閲覧サイトで「Breaking BitLocker」などをキーワードに検索すれば見ることができる。

つまり、これまでTPMバス攻撃による被害がニュースなどにならなかったのは、犯行がおこなわれたのかが分かりづらいという理由もあり、全体像が見えていない可能性があったのだ。これは確認された情報ではないが、ブラックマーケットなどに出回るアカウント情報や機微情報などのなかには、TPMバス攻撃によって流出したものもあると考えられている。

復元キーをどのように守るのか

この手法自体は2020年から存在することが知られていた。BitLockerの導入時期がWindows 7の時代であり、現在よりもセキュリティに対して厳しくなかったという社会的な背景もあり、この問題が残り続けてしまったという側面もある。

「そもそもこの脆弱性の要因は復元キーが暗号化されずにTPMチップに保存されているとが問題なのです。CPUへそのまま情報を渡すため、経路を盗聴することによって復元キーを取得されてしまいます。そこでHPは経路を暗号化するという解決方法を考えました。ただし、それを実行させるには暗号を適用するTPMと暗号を解くためのCPUの双方に構造を持たせる必要があったため、インテルやAMDやTPMのシリコンベンダーと協力しながらテクノロジーの開発を進め、この度『HP TPM Guard』として実装することになったのです」と木下氏は語る。

CPUに暗号を解く機能を実装させたことで、TPMバス攻撃を防ぐことができるテクノロジーがいよいよ実装できるようになった。ただし、HPのPCに関してはそれ以前から、これを防止する機能があったことにも触れておきたい。

それは「HP TamperLock」という機能で、簡単に説明すると、PCの裏蓋が開いたことを検知すると、TPMの中の復元キーを削除したり、次回起動時にはそれを警告として表示することが可能だ。ここで問題視しているTPMバス攻撃はもちろん、悪意あるプログラムが書き込まれたフラッシュメモリと正常なフラッシュメモリを交換されるケースや、OSなどのシステムが使う正常な経路を迂回して標的となるプログラムを送り込んだり、変更したりする手法においても検出と注意を促すことが可能だ。

この機能はデフォルトではオフになっているので、企業側でオンにする必要があるが、HP TamperLockの機能を有効にしていれば、裏蓋が開かれた際に警告がでるので、次回起動時には何かされたことが分かる。つまり早期の対応が可能となるわけだ。

「これに加えてHP TPM Guardがあれば、BitLockerの復元キーを入手されることも防止できるため、事前策についても万全な状態を保つことができるようになります。今後増加が予想されている物理的な脅威に対して、セキュリティを高めることができるので、高度な攻撃に対してとても有効な手段になると考えています」と、木下氏は語ってくれた。

HPはサプライチェーンの段階からセキュリティを強化しているだけでなく、PCにおいてはOSより上のレイヤーはもちろん、ファームウェアレベル、さらには物理的な攻撃においても、さらなるセキュリティ強化への取り組みを続けている。HP TamperLockはもちろん、HP TPM Guardを実装することで、HPのPCはさらに強固なセキュリティを手に入れることができるようになる。エンドユーザーが安心してビジネスに集中できる環境を作るため、PC購入時にはぜひこの機能にも注目していただきたい。

HP TPM Guardニュースリリース
https://jp.ext.hp.com/info/newsroom/2026/20260331/

HP TPM Guardを扱ったHP Wolf Securityブログ
https://jp.ext.hp.com/blog/security/product/tpm-guard-advancing-endpoint-protection-against-physical-attacks/

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。