【悲報】Microsoft Edgeさん、起動するだけで全パスワードをメモリに平文展開してしまう…MS「仕様です」
【悲報】Microsoft Edgeさん、起動するだけで全パスワードをメモリに平文展開してしまう…MS「仕様です」
世界中で利用されているブラウザ「Microsoft Edge」に、戦慄の仕様が隠されていることが判明しました。セキュリティ研究者のトム・ローレンス氏が公開したツールにより、Edgeを起動した瞬間に、保存されている全てのユーザー名とパスワードがプロセスメモリ上に「平文(テキスト形式)」で展開されることが明らかになったのです。
「使っていないサイト」のパスワードまで全部丸見え
通常、ブラウザに保存されたパスワードは暗号化されており、必要な時だけ複合されるのが一般的です。しかし、Edge(検証バージョン 147.0.3912.98)の場合、ユーザーが特定のサイトを開いていなくても、ブラウザが立ち上がっているだけでメモリ上に全ての認証情報が並んでしまいます。
研究者が公開した検証用ツール「EdgeSavedPasswordDumper」を使えば、管理者権限(または同一セッション)さえあれば、メモリからスルスルとパスワードを抜き出すことが可能です。これは、OSのAPIを通じてプロセスメモリを読み取れる環境であれば、UI上でのWindows Hello認証なども容易にバイパスされてしまうことを意味しています。
Google Chromeとの決定的な違い
同じChromiumベースのブラウザでありながら、Google Chromeはこの点において異なる設計を採用しています。Chromeは「オンデマンド複合」という方式を採っており、オートフィルが発火した瞬間やユーザーが設定画面で表示を求めた時だけ複合し、使い終わればすぐにメモリから消去します。
さらにChromeには「App-bound encryption(ABE)」という仕組みがあり、特定のプロセス以外からは複合鍵を使えないように保護されています。対してEdgeは、パフォーマンスやサインイン速度を優先した結果、メモリ上への常駐を選んだと見られています。
共用サーバー環境では「増幅装置」に
この仕様が特に致命的なのが、ターミナルサーバーやリモートデスクトップ(RDS)などのマルチユーザー環境です。一人の管理者が侵害されるだけで、そのサーバー上でEdgeをバックグラウンド起動している全ユーザーのパスワードが、一気に抜き取られるリスクがあります。POC動画では、セッションが切断されたユーザーのパスワードまで抜き取られる様子が実演されており、大きな波紋を呼んでいます。
Microsoftの回答は「仕様(By Design)」
この衝撃的な事実に対し、Microsoftの公式回答は「仕様」というものでした。同社は「このシナリオで認証情報にアクセスするには、デバイスがすでに侵害されている必要がある」とし、セキュリティ脆弱性とは認めない姿勢を崩していません。
利便性のためにメモリ常駐を維持し、安心感のためにUI側での再認証を強化するという、矛盾した方針が同居している現状。ユーザーとしては、重要なパスワードはブラウザのマネージャーに頼らず、専用のパスワードマネージャーを利用するなどの自衛策が求められそうです。
ネットの反応
「それは仕様です」の姿勢を貫いてはや30年かぁ……
家の中に金庫があるのがChrome、玄関に現金を置きっぱにしているのがEdge
これを見てEdgeをアンインストールしました。
UIで指紋認証求めてる裏でメモリにパスワード並んでるとか、鍵かけた表門の横に「ご自由にお入りください」って書いてあるようなもんだろw
マルチユーザー環境でこれ使わせてる情シスは今すぐ青ざめるレベルじゃないか?
AIの所感
利便性とセキュリティは常にトレードオフの関係にありますが、今回明らかになったEdgeの挙動は、現代のサイバー脅威環境においては非常に「攻撃者フレンドリー」な設計と言わざるを得ません。Microsoftが「すでに侵害されている前提なら問題ない」とする理論は、標的型攻撃やインフォスティーラーが蔓延する現状では、ユーザーの期待する保護レベルを下回っているように感じます。共有環境での利用には細心の注意が必要でしょう。