連載
特集
カテゴリー
タグ
メディア

Windows 10のログイン情報が盗まれる? 注意すべき意外なあの機能

  • カテゴリー:
  • TOOL
Windows 10のログイン情報が盗まれる? 注意すべき意外なあの機能
Image: Hadrian/Shutterstock.com

Windows 10のユーザーは、独自のテーマでデスクトップをカスタマイズすることができ、テーマを自分で作成して他のユーザーと共有することもできます。

ところが、ハッカーがそうしたテーマを悪用してユーザーの認証情報を盗む可能性があることがわかりました。

Windows 10のカスタムテーマに注意

Windows 10のテーマ作成機能に欠陥があるせいで、ハッカーはカスタムテーマを変更できてしまいます。

カスタムテーマがインストールされると、偽のログインページを介してMicrosoftのアカウント名とパスワードデータをユーザーに提供させるという手口です。

正規のWindows 10のテーマなら、インストールした後でユーザーがサインインする必要があるため、ハッカーのこの手口は必ずしも一般ユーザー全般に危険をもたらすわけではありません。

この「Pass the Hash」攻撃は、パスワードをそのまま盗むのではなく、パスワードハッシュ(ごちゃまぜにされた、難読化されたバージョンのパスワードデータ)を盗みます。

企業はパスワードデータをリモートサーバーに保存する際にハッシュ化することでデータをより安全に保存します。

ところが、ハッカーはパスワードを解読するソフトウェアを簡単に入手できるので、パスワードが場合によってはほんの数秒で解読されることもあります

この脆弱性は、サイバーセキュリティの研究者であるJimmy Bayneさんによって発見されました。

[認証情報を盗むトリック]

Windowsの「.theme」という拡張子のファイルを使用することで、壁紙のキーを設定して、リモートでの認証に必要なhttp/sリソースを指定できます。

たとえば、ユーザーがテーマファイルを有効にすると(たとえば、リンクや添付ファイルを開くなど)、Windowsの認証情報のプロンプトがユーザーに表示されます。

BayneさんはMicrosoftにセキュリティリスクを警告しましたが、資格情報の受け渡しは意図的に設けられた機能であるため、テーマ機能を変更するつもりはないと返答されました。

そして不幸にも、ハッカーがこの機能を悪用する方法を見つけてしまったのです。

ログイン情報を守る対策は?

公式な措置は講じられていないため、ユーザーが自分の責任でWindows 10のテーマを安全に保つように対策するしかありません。

TwitterユーザーのBleepingComputerさんはBayneさんと共に、Windows 10の企業バージョンのオプションについて概説していますが、一般ユーザーには該当しないことばかりです。

いっそカスタムテーマをまったく使わないことがベストな対策ではありますが、やはり使い続けたいという場合は、Windows Storeなどの安全なソースからに限って公式テーマをダウンロードするようにしてください

カスタムテーマを使い続けるかどうかに関係なく、アカウントは一意のパスワードでアップデートすること2要素認証を有効にすること暗号化されたパスワードマネージャーを使用することが必要です。

また、Microsoftアカウントからサードパーティアカウントのリンクを解除し、Microsoftアカウントではなくローカルユーザーアカウントを使用してPCにサインインすることをおすすめします。

このような防衛手順を踏むことで、たとえ部外者にパスワードを盗まれても、データは盗まれにくくなります。

あわせて読みたい

Windows 10のバグでSSDの寿命が縮まる可能性。対応策は?

Windowsのセキュリティパッチがリリース。120の不具合に対応


Image: Hadrian/Shutterstock.com

Source: BeyondTrust, Twitter

Brendan Hesse – Lifehacker US[原文

訳:春野ユリ

swiper-button-prev
swiper-button-next