Windows 10のユーザーは、独自のテーマでデスクトップをカスタマイズすることができ、テーマを自分で作成して他のユーザーと共有することもできます。
ところが、ハッカーがそうしたテーマを悪用してユーザーの認証情報を盗む可能性があることがわかりました。
Windows 10のカスタムテーマに注意
Windows 10のテーマ作成機能に欠陥があるせいで、ハッカーはカスタムテーマを変更できてしまいます。
カスタムテーマがインストールされると、偽のログインページを介してMicrosoftのアカウント名とパスワードデータをユーザーに提供させるという手口です。
正規のWindows 10のテーマなら、インストールした後でユーザーがサインインする必要があるため、ハッカーのこの手口は必ずしも一般ユーザー全般に危険をもたらすわけではありません。
この「Pass the Hash」攻撃は、パスワードをそのまま盗むのではなく、パスワードハッシュ(ごちゃまぜにされた、難読化されたバージョンのパスワードデータ)を盗みます。
企業はパスワードデータをリモートサーバーに保存する際にハッシュ化することでデータをより安全に保存します。
ところが、ハッカーはパスワードを解読するソフトウェアを簡単に入手できるので、パスワードが場合によってはほんの数秒で解読されることもあります。
この脆弱性は、サイバーセキュリティの研究者であるJimmy Bayneさんによって発見されました。
[認証情報を盗むトリック]
Windowsの「.theme」という拡張子のファイルを使用することで、壁紙のキーを設定して、リモートでの認証に必要なhttp/sリソースを指定できます。
たとえば、ユーザーがテーマファイルを有効にすると(たとえば、リンクや添付ファイルを開くなど)、Windowsの認証情報のプロンプトがユーザーに表示されます。
BayneさんはMicrosoftにセキュリティリスクを警告しましたが、資格情報の受け渡しは意図的に設けられた機能であるため、テーマ機能を変更するつもりはないと返答されました。
そして不幸にも、ハッカーがこの機能を悪用する方法を見つけてしまったのです。
ログイン情報を守る対策は?
公式な措置は講じられていないため、ユーザーが自分の責任でWindows 10のテーマを安全に保つように対策するしかありません。
TwitterユーザーのBleepingComputerさんはBayneさんと共に、Windows 10の企業バージョンのオプションについて概説していますが、一般ユーザーには該当しないことばかりです。
いっそカスタムテーマをまったく使わないことがベストな対策ではありますが、やはり使い続けたいという場合は、Windows Storeなどの安全なソースからに限って公式テーマをダウンロードするようにしてください。
カスタムテーマを使い続けるかどうかに関係なく、アカウントは一意のパスワードでアップデートすること、2要素認証を有効にすること、暗号化されたパスワードマネージャーを使用することが必要です。
また、Microsoftアカウントからサードパーティアカウントのリンクを解除し、Microsoftアカウントではなくローカルユーザーアカウントを使用してPCにサインインすることをおすすめします。
このような防衛手順を踏むことで、たとえ部外者にパスワードを盗まれても、データは盗まれにくくなります。
あわせて読みたい
Image: Hadrian/Shutterstock.com
Source: BeyondTrust, Twitter
Brendan Hesse – Lifehacker US[原文]
