スタイラスやタッチスクリーン対応の「Windows」PCでは、マシン上のあるファイルが、過去数カ月または数年の間、機密データを含む可能性のある情報を徐々に収集してきた恐れがあるという。
このファイルは「WaitList.dat」という名称で、デジタルフォレンジックおよびインシデントレスポンス(DFIR)の専門家であるBarnaby Skeggs氏によると、スタイラスやタッチスクリーンを使って書き込んだ文字をフォーマット済みのテキストに自動で変換する手書き認識機能を有効にしたタッチスクリーン対応のWindows PCでのみ見つかっているという。
手書き入力をフォーマット済みテキストに変換する機能は「Windows 8」から加わっているため、WaitList.datファイルは何年も前から存在していることになる。
このファイルの役割は、ユーザーが比較的よく使用している単語や訂正を認識したり候補として表示したりできるよう、Windowsの手書き認識機能を向上させるためにテキストを保存することだという。
Skeggs氏は、米ZDNetのインタビューで次のように述べている。「テストしたところ、手書きの動作を開始すると、WaitList.datへの書き込みが始まる。これによって『スイッチ(レジストリキー)が切り替わり』、(WaitList.datを作成する)テキスト収集機能がオンになる」
「この機能がオンになると、『Windows Search Indexer』サービスがインデックス化したすべての文書や電子メールのテキストが、WaitList.datファイルに保存される。タッチスクリーン入力機能を使ったことで関係のあるファイルだけではない」(Skeggs氏)
Windows Search Indexerサービスは、システム全体の「Windows Search」機能で利用されているので、メールや「Office」文書など、マシン上にあるテキストベースの全ファイルのデータが、WaitList.datファイル内に集められる。メタデータだけでなく、実際の文書のテキストも含まれる。
Skeggs氏は米ZDNetに対し、「ディスクにファイルのコピーがあり、Microsoft Search Indexerサービスがそのファイルのフォーマットに対応している限り、ユーザーはファイルや電子メールを開く必要もない」と述べた。
「私のPCおよび多くのテストケースでは、システム上のあらゆる文書ファイルや電子メールファイルから抽出されたテキストが、元になったファイルが削除された後でもWaitList.datに含まれていた」(Skeggs氏)
さらに、Skeggs氏によると、WaitList.datは、削除された文書からのテキストを復元するのにも利用できるという。
このファイルの技術と存在はこれまで、DFIRと情報セキュリティの専門家の世界で最もよく守られている秘密の1つだったようだ。Skeggs氏は2016年、WaitList.datファイルについてブログに記したが、この発見についてはほとんど報じられなかった。主に、Skeggs氏による当初の分析がDFIRの側面に焦点を当てたものであり、マシンにこのファイルが存在することで生じかねないプライバシーに関する懸念には注意を注いでいなかったためだ。
だが同氏は8月、興味深いシナリオについてツイートした。たとえば、攻撃者がシステムにアクセスしたり、そのシステムをマルウェアに感染させたりして、ブラウザのデータベースやパスワードマネージャの保持機能で保存されていないパスワードを収集する必要がある場合、WaitList.datを利用すれば、大量のパスワードを1回の操作で瞬時に回収できるのだ。
Skeggs氏によると、攻撃者やマルウェアは、パスワードを含んでいそうな文書がないかどうかを、ディスク全体を検索しなくても、WaitList.datを容易に見つけ、簡単なPowerShellコマンドを用いてパスワードを探せるという。
Skeggs氏は、これが脆弱性ではなく、Windowsの想定通りの機能の一部だと認識しているため、Microsoftには連絡をとっていない。
ユーザーが手書き認識機能を有効にしない限り、また有効にしている場合でも、攻撃者がマルウェアや物理的アクセスを通じてユーザーのシステムに侵入しない限り、このファイルは危険ではない。
PowerShell command:
— Barnaby Skeggs (@barnabyskeggs) 2018年8月26日
Stop-Process -name "SearchIndexer" -force;Start-Sleep -m 500;Select-String -Path $env:USERPROFILE\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat -Encoding unicode -Pattern "password"
これは、実際にはセキュリティの問題ではないかもしれないが、手書き認識機能を利用すれば、システムにあるテキストベースの全ファイルを1カ所にまとめた巨大なデータベースが気づかないうちに構築される可能性があることを、データのプライバシーを重視するユーザーは意識すべきかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。