以前、ブラウザにパスワードを覚えさせるべきかどうかについて説明しました。
その記事で、暗号化の重要性について述べました。
「ブラウザのパスワードマネージャーでは、ブラウザへのアクセス権を持つ誰かがパスワードを平文で見ることができます。ただし、Windowsは 認証 (デバイスの起動時に使用するのと同じもの)を要求するように設定することができます。」
ブラウザのパスワードマネージャーの典型的な動作は、パスワードをディスク上に暗号化して保存し、ユーザーアカウントに関連付け、オペレーティングシステムによって保護することです。
しかし最近、セキュリティ研究者が主要なChromiumベースのブラウザすべてに対して、メモリ内の認証情報をどのように処理するかを体系的にテストしました。研究者は、Edgeが起動時にパスワードボルト全体をプレーンテキストのプロセスメモリにロードし、セッション終了まで保持する唯一のブラウザであることを発見しました。
Chromeおよびその他のChromiumブラウザは、必要な場合(自動入力または「パスワード表示」)にのみパスワードを復号化し、ボルト全体ではなく、キーにはアプリバインド暗号化などのメカニズムを使用することが観察されました。Edgeはこのコンテキストではこれらの保護を使用していません。
そのため、研究者はそのボルトへのアクセスがゼロデイや複雑なエクスプロイトに依存していないことを示すプルーフオブコンセプト(PoC)を書くことにしました。これはプロセスメモリを読み取るという比較的シンプルな能力に依存していますが、昇格された特権が必要です。
しかし、研究者がこの問題をマイクロソフトに報告したとき、応答は期待外れでした。会社の公式な応答は、その動作は「仕様通り」であるというものでした。その理由は、この動作がサインインと自動入力を高速化し、攻撃者はすでにマシンを侵害するか、RAMを読み取るための昇格されたアクセスを必要としており、マイクロソフトはこれをこの設計決定の範外として扱っていることでしょう。
これは基本的に真実です。攻撃者にはすでに大きな足がかりが必要です。例えば、ボックス上のコード実行とEdgeのプロセスメモリを読み取る能力で、しばしば昇格された特権が必要です。これはブラウザのリモート、未認証のバグではありませんが、設計は侵害後の認証情報の収集を簡単にします。そしてそれは多くのinfostealer がすでに持っている機能です。
これは攻撃者がマシンを侵害した後にできることの別の1つです。多くのパスワードマネージャーが特定の条件下でメモリにプレーンテキストパスワードをリークすることを発見した2024年の学術研究と組み合わせると、我々はアドバイスを繰り返すことになります。
ブラウザにパスワードを覚えさせるべきですか?
ブラウザのパスワードマネージャーは使いやすさを提供しますが、セキュリティの代償があります。もちろん、パスワードマネージャーも万能ではないため、パスワードをどこに保存するかを自分で決めることが重要です。
ウェブサイトが安全であることが確実で、あなたのアカウントでアクセスできる誰もが新しいことを学ばないことが確実な場合は、ブラウザにパスワードを保存しても構いませんが、管理を保つために自動入力を無効にしてください。
可能な限りMFAを使用してください。誰かがあなたのパスワードを手に入れた場合、リスクを大幅に低減します。また、ブラウザのパスワードマネージャーを使用して、クレジットカードの詳細や医療情報などの他の機密の個人識別情報を保存することは避けてください。
しかし、主要なブラウザの中で、Edgeは組み込みのパスワードマネージャーを使用することを選択した場合、最も弱いオプションのようです。
脅威が害を及ぼす前に停止させてください。
Malwarebytes Browser Guardはフィッシングページと悪意のあるサイトを自動的にブロックします。無料で、ワンクリックでインストールできます。ブラウザに追加する →
