Windowsには、悪意を持って作成されたウェブサイトにユーザーを誘導することで、サインインしているユーザーのユーザー名とパスワードが盗まれる可能性がある既知の脆弱性が存在する。
しかし今回、新たに概念実証サイトが公開され、実際に簡単に認証情報を盗めることが示された。
このセキュリティホールの存在は20年近くも前から知られている。この問題は1997年にAaron Spangler氏によって発見されたものとされており、2015年にラスベガスで開催された年次イベント「Black Hat」でも、再び話題になった。
このセキュリティホールは、Windows 8がユーザーのログインにMicrosoftアカウントを使い始めるまでは、大きな問題ではないと考えられていた。Microsoftアカウントは、「Xbox」「Hotmail」「Outlook」「Office」「Skype」などにも使用されている。
この変更によって、この脆弱性の影響は大きく拡大した。攻撃に成功すれば、Microsoftアカウントを完全に乗っ取ることが可能だ。
この問題が発生するのは、「Internet Explorer」と(Windows 10の)「Edge」ではユーザーがローカルのファイル共有にアクセスできるようになっているが、遠隔のファイル共有に対する接続も完全にはブロックしていないことが原因だ。
この脆弱性を悪用するには、ユーザーを誘導して、攻撃者が用意したネットワーク共有にアクセスさせるよう特別に細工されたウェブページを、Internet Explorerまたは(Windows 10の)Edgeで閲覧させる必要がある。このとき、ブラウザは自動的にユーザー名とハッシュ化されたパスワードをネットワーク共有に送信するため、これらの情報は盗まれてしまう。
パスワードが脆弱な場合は、簡単に解読される。
このセキュリティホールは、Microsoft Outlookを使用しているユーザーに対して、リンクをクリックさせるメールを送信することでも悪用できる。
この概念実証サイトを公開したVPNプロバイダであるPerfect Privacyのブログによれば、Internet Explorer、Edge、Microsoft Outlookを使用せず、MicrosoftアカウントでWindowsにログインしないようにすれば、問題は回避できる(概念実証サイトに送信された情報がどう扱われるかは明らかではないので、概念実証サイトにアクセスしないことをお勧めする)。
「Chrome」と「Firefox」のユーザーは影響を受けない。
Microsoftの広報担当者は、同社はこの脆弱性を修正しない方針であることを示唆している。
「当社は2015年に論文が発表されたこの情報収集テクニックについて承知している。Microsoftはすでに顧客が身を守るのに役立つ手引きを公開しており、必要であればさらに対策を取る」と広報担当者は述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
