Microsoft Edgeブラウザに、ユーザーが保存したパスワードがメモリ内に平文で永続的に保存されるという深刻なセキュリティ問題が発見されました。ペネトレーションテストの専門家がこの問題を報告したところ、Microsoftはこれを「意図的な設計上の決定であり、脆弱性ではない」と回答。この設計により、デバイスに不正アクセスされた場合、ユーザーのすべてのパスワードが容易に盗み出されるリスクが高まります。Google Chromeなど他のChromiumベースブラウザが採用する厳格なセキュリティ対策とは一線を画しており、Edgeユーザーは早急な対策が求められています。
Edgeブラウザに発覚したパスワード管理の盲点
先日、ノルウェーのセキュリティ研究者トム・ヨラン・ソンステビセター・ロンニング氏が、Microsoft Edgeブラウザのバージョン147.0.3912.98で重大なセキュリティ上の懸念を明らかにしました。彼の調査によると、Edgeは起動時にユーザーが保存しているすべてのパスワードを復号化し、それらをプロセス内メモリに平文(暗号化されていない状態)で常駐させることが判明しました。これは、ユーザーが該当するウェブサイトにアクセスしていなくても、一度復号化されたパスワードデータがメモリからクリアされずに残り続けることを意味します。
一般的なブラウザでは、パスワードは暗号化された状態で保存され、必要なときに一時的に復号化されるのが通常です。例えば、Google Chromeなどの他のChromiumベースのブラウザは、自動入力時やユーザーが手動でパスワードを確認する際にのみ、該当するパスワードを復号化します。そして、使用後は直ちに平文データをメモリから削除し、さらにはアプリケーションとバインドされた暗号化技術を用いることで、攻撃のハードルを大幅に上げています。これに対し、Edgeの設計は、パスワード管理のセキュリティ面で大きな懸念を生じさせています。
マイクロソフトの「意図的設計」という回答の波紋
この問題を受けて、研究者はMicrosoftに報告を行いました。しかし、Microsoftからの回答は衝撃的なものでした。彼らは、このパスワードの処理方法を「意図的な設計上の決定であり、プログラムの脆弱性ではない」と断言しました。Microsoftは、この設計がユーザーのログイン時のパフォーマンス体験を最適化するためのものであり、「予期された機能」であると説明しています。
Microsoftは、この問題による攻撃が成立する前提として「デバイスが既に侵害されていること」を挙げています。その上で、ユーザーに対してシステムパッチを定期的に更新することや、悪意のあるプログラムを避けることを推奨しています。しかし、デバイスへのローカルアクセス権を持つ攻撃者にとっては、簡単なメモリダンプ操作だけで、Edgeに保存されているユーザーの全アカウントパスワードを一括で窃取できることになります。共有ターミナルサーバーのような環境では、他のログイン済みユーザーのパスワードデータまで読み取られる可能性があり、そのリスクは極めて高いと言えます。
Edgeユーザーへの緊急提言
研究者は既に、この問題の概念実証(PoC)デモンストレーションを公開しており、今後GitHubで一般ユーザーが自身のデバイスの安全性をチェックできるツールを公開する予定です。
業界のセキュリティ専門家は、Edgeユーザーに対し、この情報漏洩リスクを回避するための緊急対策を推奨しています。具体的には、Edgeに保存されているすべてのパスワードを、Bitwardenや1Passwordなどの信頼できるサードパーティ製パスワードマネージャーへ速やかに移行し、Edgeブラウザ内からはすべてのパスワードデータを削除することを強く推奨しています。これにより、万が一デバイスが侵害された場合でも、パスワードが平文で流出するリスクを最小限に抑えることができます。
まとめ
Microsoft Edgeのパスワード管理に関する今回の問題は、利便性とセキュリティのバランスについて改めて考えさせられる事例です。特に「意図的な設計」というマイクロソフトの回答は、ユーザーのセキュリティ意識を高めるきっかけとなるでしょう。日本のEdgeユーザーも例外なくリスクに晒されているため、この記事で述べた対策を講じ、デジタルライフの安全確保に努めることが重要です。サードパーティ製パスワードマネージャーの活用は、単一ブラウザのリスクを分散する上でも有効な手段と言えます。
元記事: mydrivers
Photo by Jakub Zerdzicki on Pexels
