以前、ブラウザにパスワードを保存させるべきかどうかについて話し合いました。
その記事では、暗号化の重要性について触れました。
「ブラウザのパスワード管理機能を使用している場合、ブラウザにアクセスできる人物は、パスワードを平文で確認できてしまいます。ただし、Windows (デバイスの起動時に使用するのと同じ)認証を求めるようにWindows 。」
一般的なブラウザのパスワード管理機能では、パスワードは暗号化された状態でディスク上に保存され、ユーザーアカウントに関連付けられ、オペレーティングシステムによって保護されています。
しかし最近、あるセキュリティ研究者が、主要なChromiumベースのブラウザすべてを対象に、メモリ内での認証情報の取り扱いについて体系的なテストを実施した。その結果、Edge 起動時にパスワード保管庫全体を平文のままプロセスのメモリに読み込み、セッションが終了するまでその状態を維持していることが判明した。
Chrome Chromiumベースのブラウザでは、パスワード全体ではなく、必要な場合(自動入力や「パスワードを表示」時)にのみパスワードの復号化が行われ、鍵の暗号化にはアプリ限定の暗号化などの仕組みが使用されていることが確認されました。一方、Edge はこの状況下ではそのような保護措置Edge 。
そこで、この研究者は、その保管庫へのアクセスがゼロデイ脆弱性や複雑なエクスプロイトに依存しないことを実証する概念実証(PoC)を作成することにしました。この手法は、プロセスメモリを読み取るという比較的単純な手法に依存していますが、これには特権の昇格が必要となります。
しかし、研究者がこの問題をマイクロソフトに報告したところ、その対応は期待外れなものだった。同社の公式な回答は、この動作は「設計上の仕様」であるというものだった。その理由としては、この動作によってサインインや自動入力の処理が高速化されること、また攻撃者がRAMを読み取るには既に侵害されたマシンや特権アクセスが必要となるため、マイクロソフトはこの点を今回の設計上の判断の範囲外とみなしていることが考えられる。
これは基本的に事実です。攻撃者はすでに相当な足場を築いている必要があります。例えば、対象マシン上でのコード実行や、Edgeプロセスメモリを読み取る能力などであり、多くの場合、特権の昇格が必要となります。これはブラウザにおけるリモートかつ認証不要の脆弱性というわけではありませんが、この設計により、システムが侵害された後の認証情報の収集が容易になります。そして、これは多くの情報窃取型マルウェアがすでに備えている機能です。
これは、攻撃者があなたのマシンを乗っ取った後に実行可能な、数ある手口の一つに過ぎません。2024年の学術研究では、多くのパスワード管理ツールが特定の条件下で平文のパスワードをメモリに漏洩させることが判明しており、こうした事実を踏まえて、私たちは改めて以下のアドバイスを申し上げます。
ブラウザにパスワードを記憶させるべきですか?
ブラウザのパスワード管理機能は使い勝手が良い反面、セキュリティ面でのリスクも伴います。もちろん、パスワード管理ツールも絶対安全というわけではありませんので、パスワードをどこに保存するかは、ご自身で慎重に判断することが重要です。
そのウェブサイトが安全であると確信しており、自分のアカウントでアクセスできる人が新たな情報を知ることにならないのであれば、ブラウザにパスワードを保存しても構いません。ただし、自動入力機能は無効にして、常に自分が管理できるようにしておきましょう。
可能な限り多要素認証(MFA)を利用してください。これにより、万が一パスワードが第三者に知られても、リスクを大幅に軽減できます。また、クレジットカード情報や、医療情報などの機密性の高い個人情報は、ブラウザのパスワード管理機能に保存しないようにしてください。
ただし、主要なブラウザの中で、もし組み込みのパスワードマネージャーを使い続けるのであれば、Edge 最も頼りにならない選択肢であるEdge でしょう。
被害が及ぶ前に脅威を阻止しましょう。
Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →
