マイクロソフトは、「多層防御」策の一環として、Edgeを変更すると発表した。
当初、Edge 起動時に保存されたパスワードのストア全体をEdge 、特定の認証情報が実際に使用されたかどうかに関わらず、ブラウザセッション全体を通じてすべての認証情報を平文のままプロセスメモリ内に保持していました。
つい先日、マイクロソフトはこの平文パスワードの動作は設計上の仕様であると述べていました。しかし現在、マイクロソフトは方針を転換しており、新しいパスワード処理の動作はすでにCanary(Edgeの実験的なプレビュー版)に実装されており、すべてのチャネルで優先的に展開が進められています。
この問題を最初に指摘した研究者は次のように述べた:
「私がテストしたChromiumベースのブラウザの中で、このような動作Edge 。対照的に、Chrome 、攻撃者が単にプロセスのメモリを読み取るだけで保存されたパスワードを抽出することを、はるかに困難Chrome 。」
Edge 責任者であるガレス・エヴァンス氏は、マイクロソフトが現在、より広範な視点に立ち、起動時に保存されたパスワードが平文のままメモリにEdge することを約束したと述べた。その結果、多層防御の強化として、情報漏洩のリスクが低減されることになる。つまり、攻撃者がデバイスの管理者権限を掌握していたとしても、すべてのパスワードを収集することがより困難になるということだ。
マイクロソフトによると:
「今後、MicrosoftEdge 、ブラウザの起動時に保存済みのパスワードをすべてメモリに読み込むEdge 。代わりに、自動入力やパスワード管理の操作に必要な場合にのみ、パスワードの復号化が行われるようになります。」
この変更はEdge で適用されており、サポート対象のEdge (Stable、Beta、Dev、Canary、Extended Stableの各チャネルにおけるビルド148以降)の次回のアップデートに含まれる予定です。
この変更の背景には、悪用可能な脆弱性を認めたというよりも、むしろ評判や戦略上の理由があると考えられます。マイクロソフトは、たとえこれを従来のメモリ開示バグとは見なしていないとしても、「セキュア・バイ・デザイン」というメッセージと現実を一致させ、非常に目立ち、実演も容易な弱点を解消したいと考えているようです。
ブラウザのパスワード
なお、この変更により、Edge パスワード保存機能のセキュリティレベルは、他のChromiumベースのブラウザと同程度Edge ご留意ください。
ブラウザのパスワード管理機能は使い勝手が良い反面、セキュリティ面でのトレードオフも伴います。もちろん、パスワード管理ツールも絶対安全というわけではありませんので、パスワードをどこに保存するかは、ご自身で慎重に判断することが重要です。
そのウェブサイトが安全であると確信しており、自分のアカウントでアクセスできる人が機密情報を入手する心配がない場合は、ブラウザにパスワードを保存しても構いませんが、自動入力機能は無効にして、自分で管理できるようにしておきましょう。
可能な限り多要素認証(MFA)を利用してください。これにより、パスワードが第三者に知られてしまった場合のリスクを大幅に軽減できます。また、クレジットカード情報や、医療情報などの機密性の高い個人情報は、ブラウザのパスワード管理機能に保存しないようにしてください。
正直なところ、シークレットウィンドウには限界があります。
情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。
