Windows 10 のパスワードマネージャーのバグがもたらした「朗報」とは
2018.01.10
Google Project Zero の研究者 Tavis Ormandy 氏が、Keeper のブラウザ向け拡張機能に脆弱性を発見しました(リンク先:英語)。Keeper は、Microsoft が Windows 10 の開発者ビルドとのバンドルを先日開始したばかりのパスワードマネージャーです。
これがなぜ「朗報」なのかと思われるでしょう。確かに、脆弱性は全く無い方が良いに決まっています。
しかし、Windows 10 ユーザーが注目すべき良いニュースが隠れています。
この点については後で詳しく説明しますが、その前に脆弱性そのものについてお話しします。これは、12 月 8 日にリリースされた Keeper のブラウザ向け拡張機能バージョン 11.3 (Windows 10 とは別にダウンロードしたユーザーを含む) がアクセスしたパスワードを、悪意のある Web サイトが盗むことができるという深刻な脆弱性です。
2016 年 8 月にも (当時はバンドルされていなかった) 同製品でほぼ同じ脆弱性を発見したことがある Ormandy 氏は、90 日後に開示期限を迎える Keeper について次のように記しています。
(引用文日本語訳) セレクターを変更しただけで以前と同じ攻撃が可能ということを考えると、この問題を新しい問題として報告し、情報開示までの猶予を 90 日間与えるのは寛容すぎるかもしれません。
とは言え、迅速に問題解決にあたった(リンク先:英語) Keeper の開発者は正当に評価すべきです。
この問題の通知を受けた後、24 時間以内に問題を解決し、拡張機能の自動更新プログラムをリリースしました。
Edge、Chrome、または Firefox で Keeper を実行しているユーザーには、拡張機能の更新プロセスによって最新バージョンである 11.4.4 以降が自動的に送信されます。
Safari ユーザーは、ダウンロードページにアクセスして手動で更新する必要があります。なお、モバイル版とデスクトップ版はこの脆弱性の影響を受けません。
ダウンロードするユーザーがその存在を認識しているかどうかにかかわらず、Windows にバンドルされているソフトウェアの欠陥について Microsoft を非難するのは簡単です。しかし、ここでは当該の問題をもう少し掘り下げてみましょう。
第一に、このソフトウェアは Microsoft Developers Network (MSDN) からダウンロードされる Windows 10 ビルドの一部です (MSDN は、ソフトウェア開発者がベータ版の Windows ビルドをテストするために使用するリポジトリであり、一般の Windows ユーザーが使用するものではありません)。
また、影響を受けるのは、Keeper のブラウザ用拡張機能のアクティブユーザーに限られ、このソフトウェアをインストールしているだけでは影響を受けません。
そもそも、セキュリティソフトウェアをバンドルするのは良いアイデアなのかでしょうか。
Microsoft はこれまでにも、役立つと判断したソフトウェアを Windows にバンドルしてきましたが、サードパーティ製のソフトウェアをバンドルすることはほとんどありませんでした。サードパーティのソフトウェアをバンドルしたということは、そのソフトウェアに対して何らかのセキュリティチェックが実行されたことを意味します。
今回のケースがこれに該当するかどうかは不明ですが、少なくとも Microsoft が Windows 10 の将来のバージョンにパスワード管理機能の導入を検討していることを示唆しています。
それが事実であれば朗報です。パスワードマネージャーは完全無欠ではないかもしれませんが、それでも使用するべきです。パスワードマネージャーはパスワードの強度を高め、パスワードが再利用される可能性を低減し、多要素認証を統合することができます。
Windows 10 または Edge に基本的なパスワードマネージャーを組み込むだけでも、その取り組みは促進されるはずです。
皮肉なことに、そもそも MSDN によってバンドルされていなければ、深刻な被害が発生するまで誰もこの脆弱性に気付いていなかった可能性があります。
潜在的に重大な脆弱性を発見した Ormandy 氏に感謝するとともに、Microsoft にも称賛を送りましょう。手際は悪かったとはいえ、「ユーザーはパスワードをどのように保護すべきか」という重要な問題に注目が集まったのは Microsoft のおかげです。