Microsoft Edgeにパスワードを保存している場合は、知っておくべきセキュリティリスクがあります。新しい開示によると、Edgeを開くたびに、ブラウザはログインしようとしているウェブサイトのパスワードだけでなく、保存されているすべてのパスワードを読み取り可能な形式で即座にメモリに読み込みます。つまり、マルウェアや侵害された管理者アカウント、あるいは別の攻撃者がお客様のデバイスやユーザーセッションにアクセスした場合、Edgeに保存されているすべてのアカウントの認証情報が流出する恐れがあります。

この発見は、セキュリティ研究者のTom Jøran Sønstebyseter Rønning(新しいウィンドウ)氏によって明らかにされました。同氏によれば、Microsoftの回答はこの挙動は「仕様によるもの」であるとのことでした。

Microsoft独自のドキュメントでは、EdgeはAES(Advanced Encryption Standard)を使用してディスク上の保存済みパスワードを暗号化していると述べ、ユーザーセッションやデバイスが侵害された場合にはパスワードが流出する可能性があることを認めています。今回の新しい開示はその点に異を唱えるものではありませんが、別の懸念を提起しています。それは、Edgeがブラウザの起動と同時に保存されたすべてのパスワードを読み取り可能な状態でメモリに読み込むため、攻撃者が十分なアクセス権を得た場合に、メモリスクレイピングによる被害がはるかに大きくなるという点です。

これは、MicrosoftがMicrosoft Authenticatorでのパスワード保存と自動入力機能を段階的に廃止し、Microsoftのパスワード機能を引き続き使用したいユーザーを自社ブラウザへと誘導することで、Edge周辺のパスワード管理を狭めた1年後の出来事です。

Microsoft Edgeにおける保存済みパスワードの取り扱い

パスワードは保管時に暗号化によって保護されることになっています。暗号化は、読み取り可能なパスワード(プレーンテキスト)を読み取り不能なデータ(暗号文)に変換します。パスワードを自動入力で使用するために、ブラウザは最終的にそれを読み取り可能な形式に復号化する必要があります。重要な問題は、一度にどれだけのパスワードデータが読み取り可能になるかということです。

セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏は、Microsoft Edgeは必要なときに特定のパスワードのみを復号化するのではなく、起動するとすぐに保存されているすべてのパスワードをプレーンテキストとしてブラウザのメモリに読み込むと述べています。これには、現在のブラウジングセッション中にアクセスしたり自動入力したりしないウェブサイトのものも含め、Edgeパスワードマネージャーに保存されているすべてのパスワードが含まれます。

Microsoft Edgeが保存されたパスワードをプレーンテキストで公開し続けていることを示すターミナル
出典:Xの@L1v1ng0ffTh3L4N

そのため、Edgeの再認証プロンプトは誤解を招くように感じられます。ブラウザのプロセスには保存されたすべてのパスワードがすでに読み取り可能な形式で存在しているにもかかわらず、インターフェース上ではパスワードを表示する前に本人確認を求めてくるからです。

研究者は、Google ChromeBrave、Vivaldi、Opera、Microsoft Edgeを含む、複数のChromiumベースのブラウザでこの挙動をテストしました。その結果、Edgeのみがこの挙動を示しました。

Microsoft Edgeを開いたままにするだけで十分です

SANS Internet Storm Center(新しいウィンドウ)に寄稿しているセキュリティ研究者のRob VandenBrink氏は、Microsoft Edgeを開いたままにして、実行中のブラウザセッションのメモリダンプを分析することで、この問題を再現しました。同氏は、ログインしているWindowsユーザーが追加の権限なしで、保管済みのEdgeの認証情報をダンプできることを実証しました。これは、そのユーザーとして実行されているマルウェアも、それらの認証情報にアクセスできる可能性があることを意味します。

Windowsタスクマネージャーを使用してMicrosoft Edgeのメモリダンプファイルを簡単に作成する方法と、キャプチャされたDMPファイル内で保存されたすべてのパスワードを簡単に表示する方法を示す、2つの並んだパネル
出典:SANS Internet Storm CenterのRob VandenBrink氏

1つのセッションの侵害が、すべてのパスワードの流出につながる可能性があります

攻撃者がデバイスやユーザーセッションに対して十分なアクセス権を得た場合、ブラウザのメモリを検査できる可能性があります。必要なときに1つのパスワードだけが復号化されるのであれば、攻撃者がデータをキャプチャできる期間は短くなり、データ量も少なくなります。しかし、保存されたすべてのパスワードが暗号化で保護されずにメモリに置かれているのであれば、メモリスクレイピングの価値ははるかに高くなります。

このリスクは、ターミナルサーバー、リモートデスクトップ、仮想デスクトップインフラストラクチャ、または複数のユーザーが同時にログインしているシステムなどの共有環境において特に深刻です。侵害された管理者アカウントは、Edgeがまだ実行されていた切断されたセッションを含む、他のログインユーザーから保存済みの認証情報を抽出できる可能性があります。

Microsoft Edgeにパスワードを保存していた場合の対処法

これはすべてのMicrosoft Edgeユーザーがハッキングされたという意味ではありませんが、個人や組織は、Edgeが認証情報を保管するのに適した場所であるかどうかを再検討すべきです。安全を保つためにできることは以下の通りです:

  • Microsoftのブラウザに新しいパスワードを保存するのをやめ、Edgeのパスワードマネージャーを無効化してください。
  • 保存されている認証情報を安全なパスワードマネージャーに移動してください。EdgeのパスワードはProton Passへ簡単にインポートできます。
  • 移行後、Edgeに保存されているパスワードを削除してください。
  • メール、金融機関のアカウント、管理ツール、パスワードリセット用の受信トレイ、仕事用のアカウントを皮切りに、リスクの高いパスワードを変更し、それぞれ固有のものにしてください。弊社のパスワードマネージャーにはこのための統合ツールがありますが、弊社のパスワード生成ツールを使用することも可能です。
  • 可能な限り、2要素認証(2FA)またはパスキーを有効にしてください。これにより、パスワードが流出した場合の被害を軽減できます。Proton Passは、保存されたすべてのアカウントでパスキー2要素認証をサポートしています。また、弊社の認証アプリを使用して、お客様のProtonアカウントへのアクセスを安全に管理することもできます。
  • ITチーム向け: Edgeのパスワードポリシーを確認し、ブラウザのパスワード保存機能を無効化して、組織のリスクを軽減してください。従業員が個々のブラウザにパスワードを保存するよりも、一括管理されたビジネス向けパスワードマネージャーを使用する方が優れています。

お客様のパスワードは、Microsoft Edgeよりも優れた保護を受ける価値があります

Microsoft Edgeによる今回の情報漏洩は、個人や組織に明らかなセキュリティ上の懸念が生じるにもかかわらず、このような露出を想定内の挙動として扱う企業が提供するパスワードマネージャーに、極めて機密性の高い認証情報を保管すべきではないということを再認識させるものです。

Proton Passを使用すれば、パスワード、エイリアス、パスキー、および2要素認証コードはエンドツーエンド暗号化によって保護され、いつどこでそれらを使用するかをお客様自身がコントロールし続けることができます。

無料のProton Passアカウントを作成する