Windows10ではパスワード入力の煩わしさと、人は自分が覚えられるパスワードを使ってしまうという脆弱性を回避するため、Windows Hello for Businessという機能を実装しています。
これを利用すると、指紋や顔認証を用い、対応システムとクライアント間のやり取りを証明書ベースの認証に切り替えられるという、セキュリティ強度を劇的に高めることができる仕組みとなっています。
そんなWindows Hello for Businessですが、2019年12月にセキュリティアドバイザリーという形で脆弱性が報告されていました。
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190026
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190026
簡単に言うと一部のTPMにおいて発生していたTPM問題に起因し、TPM内に保存していた証明書が抜き取られ、Active Directoryへのログインが行われてしまうというものです。
特にこの記述だけだとWindows Hello for Businessは関連してこないように思えますが、Windows Hello for Businessではデバイスを破棄してもActive Directory内に破棄したデバイスの証明書が残ってしまうとのことで、これを足掛かりに問題が顕在化するという内容でした。
おそらく証明書を失効させておけばよいのでしょうけれど、そうしていなかった場合は問題のある証明書が残っているかわからないという問題が残っているということなのかと思います。(デバイスを破棄しているので問題のあるTPMで暗号化された証明書なのか判断がつかない。)
この問題を回避するために、デバイスが削除されたケースの証明書を消すためのPowerShellが用意されたようです。
そのコマンドレットが以下になります。
現在利用中の端末にTPMの問題が残っていた場合、証明書が抜き取られてしまう可能性があるので、TPMのファームのバージョンアップをおこなって、新しい証明書を確保するなどの対応が必要となります。
どちらかというと後者の方が重要度が高そうな感じがしますので、利用中のPCのTPM、一度調べておいた方がよいかもしれません。
音楽:War Ship
