WindowsにMicrosoftアカウントが盗まれる既知の脆弱性--概念実証サイトが公開に

Zack Whittaker (Special to ZDNet.com) 翻訳校正: 編集部 2016年08月03日 10時59分

  • このエントリーをはてなブックマークに追加

 Windowsには、悪意を持って作成されたウェブサイトにユーザーを誘導することで、サインインしているユーザーのユーザー名とパスワードが盗まれる可能性がある既知の脆弱性が存在する。

 しかし今回、新たに概念実証サイトが公開され、実際に簡単に認証情報を盗めることが示された。

 このセキュリティホールの存在は20年近くも前から知られている。この問題は1997年にAaron Spangler氏によって発見されたものとされており、2015年にラスベガスで開催された年次イベント「Black Hat」でも、再び話題になった

 このセキュリティホールは、Windows 8がユーザーのログインにMicrosoftアカウントを使い始めるまでは、大きな問題ではないと考えられていた。Microsoftアカウントは、「Xbox」「Hotmail」「Outlook」「Office」「Skype」などにも使用されている。

 この変更によって、この脆弱性の影響は大きく拡大した。攻撃に成功すれば、Microsoftアカウントを完全に乗っ取ることが可能だ。

 この問題が発生するのは、「Internet Explorer」と(Windows 10の)「Edge」ではユーザーがローカルのファイル共有にアクセスできるようになっているが、遠隔のファイル共有に対する接続も完全にはブロックしていないことが原因だ。

 この脆弱性を悪用するには、ユーザーを誘導して、攻撃者が用意したネットワーク共有にアクセスさせるよう特別に細工されたウェブページを、Internet Explorerまたは(Windows 10の)Edgeで閲覧させる必要がある。このとき、ブラウザは自動的にユーザー名とハッシュ化されたパスワードをネットワーク共有に送信するため、これらの情報は盗まれてしまう。

 パスワードが脆弱な場合は、簡単に解読される。

 このセキュリティホールは、Microsoft Outlookを使用しているユーザーに対して、リンクをクリックさせるメールを送信することでも悪用できる。

 この概念実証サイトを公開したVPNプロバイダであるPerfect Privacyのブログによれば、Internet Explorer、Edge、Microsoft Outlookを使用せず、MicrosoftアカウントでWindowsにログインしないようにすれば、問題は回避できる(概念実証サイトに送信された情報がどう扱われるかは明らかではないので、概念実証サイトにアクセスしないことをお勧めする)。

 「Chrome」と「Firefox」のユーザーは影響を受けない。

 Microsoftの広報担当者は、同社はこの脆弱性を修正しない方針であることを示唆している。

 「当社は2015年に論文が発表されたこの情報収集テクニックについて承知している。Microsoftはすでに顧客が身を守るのに役立つ手引きを公開しており、必要であればさらに対策を取る」と広報担当者は述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算