TPM ロックアウトをリセットする

トラステッドプラットフォームモジュール (TPM) は、改ざんや攻撃を防ぐために自らをロックします。これをロックアウトといいます。多くの場合、TPM ロックアウトが続く時間は一定ではないか、またはコンピューターの電源が切れるまでです。TPM がロックアウトモード状態のときに、認証値を要求するコマンドを受け取ると、通常はエラーが返されます。例外として、TPM では必ず、所有者はロックアウトモード状態の TPM を少なくとも 1 回はリセットすることができます。TPM がロックアウトモードになっているか、またはコマンドへの応答に時間がかかるようになった場合は、ロックアウト値をリセットすることをお勧めします。TPM ロックアウトをリセットするには、TPM 所有者認証が必要です。TPM 所有者認証は、管理者が最初に TPM の所有権を取得するときに設定されます。所有者認証パスワードはハッシュされて所有者認証値が作成され、その値は TPM によって保存されます。管理者は、所有者認証ハッシュ値を TPM 所有者パスワードファイルに保存することをお勧めします。TPM 所有者パスワードファイルは拡張子が .tpm で終わるファイルで、所有者認証ハッシュ値を XML 構造で格納します。セキュリティ上、TPM 所有者パスワードファイルには元の所有者パスワードが含まれません。TPM 所有権は、通常、コンピューターで BitLocker ドライブ暗号化が初めて有効化されたときに取得されます。このシナリオでは、TPM 所有者認証パスワードは BitLocker 回復キーと共に保存されます。BitLocker 回復キーがファイルに保存されると、BitLocker により TPM 所有者パスワードのハッシュ値を含む TPM 所有者パスワードファイル (.tpm) も保存されます。BitLocker 回復キーを印刷すると、TPM 所有者パスワードも同時に印刷されます。TPM 所有者パスワードのハッシュ値は、Active Directory ドメインサービス (AD DS) に保存することもできます。これを行うには、組織でグループポリシー設定を構成する必要があります。

TPM 保護のメカニズムとは

一部のシナリオでは、TPM はキーにアクセスする際に有効な認証値を要求することによって、暗号化キーを保護します (一般的な例は、TPM および PIN キープロテクターを使用するように構成された BitLocker ドライブ暗号化です。この場合、TPM によって保護されたボリューム暗号化キーにアクセスするには、ブートプロセス中に正しい PIN を入力する必要があります)。悪意のある者に認証値を検出されることを防ぐため、TPM には保護ロジックが実装されています。保護ロジックは、認証値を推測しようとする者が存在する可能性を検知した際、TPM の応答を遅らせるか、または停止するように設計されています。

Trusted Computing Group (TCG) 機構の業界標準では、TPM 製造元で TPM 1.2 チップに何らかの保護ロジックを実装するように定められています。実装されている保護のメカニズムや動作は TPM 製造元によって異なります。一般的な TPM チップでは、TPM に間違った認証値が送信されると、応答時間が急に遅くなるようになっています。TPM チップには、時間が経過すると認証エラーが保存されなくなるものがある一方、すべての認証エラーを無期限に保存するものもあります。したがって、ユーザーが誤った認証値を入力して TPM に送信することにより TPM の応答時間がますます遅くなり、事実上 TPM が一定時間使用不可の状態になる場合があります。ユーザーは、以下の手順を実行して TPM の保護メカニズムをリセットすることができます。

注

TPM の保護ロジックは、TPM 所有者認証値にも適用されます。業界標準では、TPM がロックアウトされても、ユーザーが所有者認証値を使用して TPM ロックアウトを少なくとも 1 回リセットできるよう定義されています。TPM ロックアウトをリセットするときに間違った値を使用すると、以降、所有者認証値を入力した際に、正しい値を入力しても間違った値が入力されたかのように TPM が応答したり、TPM がロックアウトされていると応答したりすることがあります。

TPM ロックアウトをリセットするには

TPM 管理 (tpm.msc) スナップインを開きます。
[操作] ウィンドウで、[TPM ロックアウトのリセット] をクリックし、TPM ロックアウトのリセットウィザードを開始します。
TPM 所有者パスワードの入力方法を選択します。
- TPM 所有者パスワードを .tpm ファイルに保存している場合、[所有者パスワードファイルがあります] をクリックし、ファイルへのパスを入力するか、[参照] をクリックしてファイルの保存場所に移動します。
- TPM 所有者パスワードを手入力する場合、[所有者パスワードを入力します] をクリックして所定の領域にパスワードを入力します。BitLocker と TPM を同時に有効にし、BitLocker を有効にしたときに BitLocker 回復パスワードが印刷されるように選択している場合、同じ紙に TPM 所有者パスワードも印刷されることもあります。

TPM 所有者パスワードが認証されると、TPM ロックアウトがリセットされたことを確認するダイアログボックスが表示されます。

よく寄せられる質問 (FAQ)

TPM ロックアウトをリセットする必要があるのはどのような場合ですか。

最も可能性の高いシナリオは、TPM と PIN で構成されたキープロテクターを使用していて、ブートプロセス中に間違った PIN を入力し、応答時間が遅くなったと感じた場合です。間違った PIN が入力され、TPM がロックアウトされていることをユーザーに通知するまでの一定期間、システムがフリーズしているように見えることがあります。TPM がロックアウトされているときでも、ユーザーが正しい PIN を入力することは可能ですが、一定時間、TPM は間違った PIN が入力されたときと同じ応答を行います。認証値を持つ TPM が使用されている他のアプリケーションでも似たような動作が起きることがありますが、オペレーティングシステムが既に起動している場合は、TPM と通信しているアプリケーションの応答時間のみが遅くなる可能性が高くなります。TPM に送信された間違った認証値がすべて無制限に保存されている場合があるので、BitLocker PIN などの認証値を誤って入力することが頻繁にあった場合、ユーザーはあらかじめ TPM ロックアウトをリセットすることもできます。

TPM 保護ロジックが有効で認証値が保護されている場合、どのような動作を想定する必要がありますか。

ハードウェアプラットフォームの動作は、プラットフォームの製造元が選択した実装によって異なります。通常ハードウェア製造元では、TPM チップからの応答を大幅に遅らせる保護ロジックを実装していると考えられます。TPM チップが応答可能でも、一定期間、正しい認証値に対して間違っているかのように応答するようになっている場合もあります。動作の詳細については、プラットフォーム製造元に問い合わせてください。

BitLocker を使用しており、現在、TPM がロックアウトされている場合、ブートプロセス中に、BitLocker 回復コンソールを開くか、しばらく待ってから PIN を再入力することができます。

Windows が起動すると、TPM 管理コンソールに、TPM の状態が現在ロックアウト中であることが表示されます。

認証値を伴ったり、TPM 所有者パスワードを TPM に送信したりするコマンドは、TPM のロックアウト中はエラーになります。

TPM 所有者パスワードを忘れた場合はどうすればいいですか。

管理者が最初にユーザーのコンピューターの TPM 所有権を取得した際に、TPM 所有者認証ハッシュ値を拡張子 .tpm のファイルに保存している場合があります。ファイルシステムで .tpm で終わるファイルを検索してください。BitLocker 回復パスワードを印刷した際に、TPM 所有者パスワードが同時に印刷されている場合があります。TPM 所有者パスワードを確認できない場合は、TPM をクリアして所有権を再度取得することができます。ただし、これを行うと TPM で暗号化されたデータは失われるため、慎重に実行する必要があります。BitLocker を使用している場合は、必ず TPM をクリアする前に BitLocker を中断するか、または無効にしてください。TPM のクリアの詳細については、「TPM をクリアする」を参照してください。

TPM 所有者認証ハッシュ値を秘密にしておくことは重要ですか。

はい。悪意のある者が TPM 所有者認証ハッシュ値を入手すると、BitLocker PIN などの暗号化キー認証値を推測し、TPM 所有者認証ハッシュ値を使って TPM ロックアウトをリセットする操作が、何度も繰り返し試行される可能性があります。認証値のサイズが小さい場合は、最終的に検出される可能性が高まります。

TPM 所有者パスワードと TPM 所有者認証ハッシュ値の関係はどのようなものですか。

TPM 所有者パスワードは、SHA-1 を使用してハッシュされ、Base64 でエンコードされて TPM 所有者認証ハッシュ値が作成されます。