/
NVMeドライブ搭載LenovoマシンのPurgeレベル消去を達成する方法

NVMeドライブ搭載LenovoマシンのPurgeレベル消去を達成する方法

Owned by Sami Purho
作成日更新日影響を受けるバージョン修正バージョン

 

  

Drive Eraser 7.4以下

Drive Eraser 7.5

NVMeドライブを搭載したLenovoマシンにて、ファームウェアベースの消去コマンド失敗により、消去全体も失敗する事例が報告されています。根本的な原因は、必要なファームウェアコマンド実行を妨げるLenovoファームウェアのセキュリティ機能にあります。そのため、この問題はBlancco Drive Eraserの全バージョン、そしてPurgeレベル消去規格を使用するすべての消去ツールで発生します。

この問題は以下のようなNVMeドライブを搭載するマシンで報告されています

  • Lenovo Thinkpad E590, L480, P51, P52, T460s, T470, T470s, T570, T580, X270, X280, X390
  • Lenovo Yoga 370, X380, X390
  • Lenovo ThinkCentre M715q, M910
  • Lenovo X1 Carbon
  • Lenovo X1 Carbon Yoga



この問題に対する回避策は以下の4種類です。

回避策1: 起動パラメータ「flr=forced」を使用してBDEを起動します。同時に、より詳細なログを収集できるように「loglevel=7」も追加してください。


回避策2: 最初の消去が失敗した後、同じセッションつまり再起動せずん、同じ消去規格を指定してドライブを再消去してみてください。※最初の消去試行の際にドライブのロック状態が変化し、2回目の消去が成功することがあります。


回避策 3: Physical Presence Interface (PPI) およびTCGコマンドをサポートしているマシンであれば、消去コマンド (主にTCGコマンド) を妨げるセキュリティ機能 (ブロックSID認証) を無効化できる可能性があります。これを行うためには、あらかじめDrive Eraser Configuration Toolを用いてBlancco Drive Eraserイメージの設定項目「ブロックSID認証を無効化」を有効化してください。この設定に基づいてDrive Eraserはマシンを再起動し、ユーザーにセキュリティ機能の無効化をうながす画面を表示します。その後、Drive Eraserが起動し、消去を再試行できます。


回避策4: 前述の回避策でも成功に至らない場合の回避策は、物理的な作業を必要とします。

4a) ドライブの「PSID Revert」(PSIDリバート) と呼ばれるTCGコマンドを用いて消去する。しかし、このコマンドを実行するには、ユーザーがマシンを開けて事前にPSIDを調べておき、Drive Eraserの消去実行時の画面にPSIDを入力する必要があります。

  

  • 前提条件: ドライブが「PSID Revert」コマンドをサポートしている必要があります (これはDrive Eraserの画面から確認できます) 。
  • 欠点: マシンを手で開けてドライブのラベルに印刷されているPSIDを調べてからマシンを再起動し、Drive Eraserの画面にPSIDを入力する必要があります。

4b) マシンを開けてドライブを取り外し、ドライブをロックする機能をもたない別のマシンに接続して再消去する。

  • 前提条件: 消去を再試行するためにロックをかけないマシンを特定する必要があります。
  • 欠点: マシンを手動で開けてドライブを取り外し、別のマシンに接続し、Drive Eraserで別のマシンを再起動してドライブを再消去する必要があります。

4c) ドライブのファームウェアをアップグレードする (新しいドライブファームウェアがTCGコマンドをサポートする場合、回避策3が機能する可能性があります) 。

  • 前提条件: ドライブファームウェアにアクセスし、リリースノートを確認してこの手順を正当化するものがあるかどうかを確認する必要があります。
  • 欠点: ドライブファームウェアをアップグレードするための手動作業が必要であり、メーカーが提供する専用ツールが必要になる可能性があります。

4d) マシンのBIOSをアップグレード (またはダウングレード) する。新しいBIOSバージョンは消去コマンドをブロックする可能性がありますが、古いBIOSはそれらを使用できる場合があります。

  • 前提条件: 消去が成功する同一機種のマシンを探し、そのBIOSバージョンをメモしてダウンロードします。同一機種のマシンを消去しているときに、一部が成功し、一部が失敗する場合かつBIOSバージョンに違いが認められた時にこのようなことが可能になります。希望するBIOSバージョンが1〜2年以上前のものであり、メーカーのウェブページからダウンロードできない場合には、ユーザーはBIOSメーカーに相談してそのBIOSを入手しなければなりません 。
  • 欠点: BIOSをアップグレードまたはダウングレードするための手動作業が必要であり、メーカーが提供する専用ツールが必要になる可能性があります。


Blanccoは引き続きLenovo社サポート部門と協力しますが、実働環境に影響がある場合は、この問題を直接Lenovo社にご報告いただくことをおすすめします。この事象が発生した場合には、問題のマシン詳細および不具合レポートを添えて新たにサポートチケットを起票してください。引き続きお客様からのご報告を承ります。

2023年5月更新

Drive Eraser 7.7.0以上のバージョンはPSID Revertコマンドをサポートします。このコマンドにより、TCG OpalまたはTCG Enterprise準拠のSamsung製ドライブに関して、ロックが有効な場合もデータ消去が可能になります。このコマンドで消去された場合は、Purgeレベルの消去規格の要件を満たします。

一方、Intel SSDPEKKFシリーズのNVMeドライブの場合、TCG Opalに完全に準拠していないためにPurgeレベルのデータ消去は行えません。

2023年4月更新

Drive Eraserバージョン7.5.0以上はBIOSによるドライブのロックを解除するコマンドをサポートしています(よって、このコマンドに対応した比較的新しい機種の場合に問題を回避できる可能性があります)。

2021年5月更新

Drive Eraser 6.17.0を使うとNVMe搭載のLenovoの問題が解決する場合があります。つまり、マシンの状態によってはBlancco SSD ErasureまたはNIST 800-88 Purgeを指定した消去が成功します。

失敗する場合は、上述の通り別のホストマシンにドライブを移して消去を行ってください。

2019年12月5日更新

一部の機種に対して、Purgeを実行するための代替手段をみつけました。代替手段を利用可能な機種は、現在判明している限りでは以下の通りです。

  • ThinkCentre M720t、M720s、M720q、M710q、M710t、M710s
  • ThinkPad L470、T570、X270、Yoga 370、L480、L380、X280、X380 Yoga、13

これら機種と同一または同じマシンファミリーに該当する機種にBlancco Drive Eraserを利用なさる場合はBlanccoサポートにお問い合わせください。

2018年11月2日更新

これまでのところ、Lenovo社はこの機能の変更を予定していません。可能であれば、引き続きLenovo社へのサポートケースを作成されることをおすすめします。

回避策:

  1. 機器からドライブを取り外し、NIST Purgeレベルで消去
  2. NIST Clearレベルで消去
  3. BDE 6.6にはNIST消去規格のフォールバック機能が含まれます。NIST Purgeが失敗した場合、続いてNIST Clearが実行されるよう自動化できます。

Related content