Microsoft Edge、全パスワードを平文でメモリ上に展開。セキュリティに懸念。MSの回答は
Microsoft Edgeは、起動時に保存されているすべてのパスワードをメモリ上に平文で展開していることが判明しました。
Microsoft Edgeは起動時にすべてのパスワードをメモリ上に平文で展開
セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏によると、Microsoft Edgeに保存されているすべてのパスワードは、Microsoft Edge起動時に復号化されて平文でメモリ上に展開・読み込みされるとのこと。
例えば保存されているパスワードの1つが「abcdefg」だった場合、その内容は暗号化されずに「abcdefg」のままでメモリ上に展開されます。
ほかのブラウザはどうかと申しますと、例えばChromeなんかは必要な場合にのみパスワードが復号化されます。ブラウザ起動時に平文でメモリ上に展開されるなんてことはありません。
Tom Jøran Sønstebyseter Rønning氏がテストしたChromiumブラウザでは、平文でのメモリ展開を採用しているのはMicrosoft Edgeだけでした。
つまるところこれは、攻撃者がメモリの中身を読み取ることができる場合、Microsoft Edgeに保存されているパスワードを抽出できることを意味します。
Tom Jøran Sønstebyseter Rønning氏はメモリ上からMicrosoft Edgeが保存している平文パスワードを抽出するための検証ツールを公開し、Microsoft Edgeユーザーに対して警鐘を鳴らしています。
この問題に対するMicrosoftの回答
Tom Jøran Sønstebyseter Rønning氏はこの問題をMicrosoftに報告しましたが、Microsoftからは「仕様」(By design)との回答を得ました。
海外メディアのWindows Centralも本件についてMicrosoftに問い合わせたところ、以下の回答を得ました。
安全性とセキュリティはMicrosoft Edgeの基盤です。報告されているシナリオでは、デバイスがすでに侵害されているという前提が必要になります。 この設計はパフォーマンス、使いやすさ、セキュリティのバランスを考慮したものであり、進化する脅威を踏まえて、私たちは継続的に見直しを行ってまいります。 ブラウザはユーザーが迅速かつ安全にサインインできるよう、メモリ内のパスワードデータにアクセスします。これはアプリケーションとして想定されている機能です。 ― Microsoft |
MicrosoftはWindows Centralに対して「想定されている機能」と回答しました。平文でパスワードをメモリに展開するのはパフォーマンス・使いやすさ・セキュリティのバランスを考慮したものとされています。
そして、この仕様を悪用するには、PCがすでに侵害されていることを前提としており、Microsoftは大きな問題とは考えていないようです。
とはいえ、もしPCが侵害されていたとしても、平文で展開されていなければ、ブラウザに保存されているすべてのパスワードをメモリから抽出される、なんて二次被害を防ぐことができます。
この仕様は本当に問題がないと言えるのか、セキュリティに懸念が残ります。