Microsoftは、ファイルエクスプローラー(旧Windowsエクスプローラー)が、悪意のあるドキュメントによる認証情報窃取攻撃を防ぐため、インターネットからダウンロードされたファイルのプレビューを自動的にブロックするようになったと発表しました。
この変更は、今月のパッチチューズデーのセキュリティ更新プログラムをインストールしたWindows 11およびWindows Serverシステムのユーザーにはすでに適用されています。
レドモンドによると、
このようなファイルをプレビューしようとすると、ファイルエクスプローラーのプレビューペインに「プレビューしようとしているファイルはコンピューターに損害を与える可能性があります。ファイルおよびその提供元を信頼している場合は、内容を表示するために開いてください。」という警告メッセージが表示されます。
2025年10月以降にリリースされたWindowsセキュリティ更新プログラムをインストールした後、この変更により、攻撃者が外部パス(<link>、<src>など)を参照するHTMLタグを含むファイルをユーザーがプレビューした際に、NTLMハッシュを取得できる脆弱性を悪用することが防止されます。
この攻撃手法が特に懸念されるのは、ファイルをプレビューするために選択する以外にユーザーの操作が不要であり、ターゲットに実際にファイルを開かせたり実行させたりする必要がないためです。
「2025年10月14日以降にリリースされたWindowsセキュリティ更新プログラムより、ファイルエクスプローラーはインターネットからダウンロードされたファイルのプレビュー機能を自動的に無効化します」とMicrosoftはサポートドキュメントで今週水曜日に述べています。
「この変更は、ユーザーが安全でない可能性のあるファイルをプレビューした際にNTLMハッシュが漏洩する脆弱性を防ぐことで、セキュリティを強化するために設計されています。」
ほとんどのユーザーは、2025年10月のセキュリティ更新プログラムによって自動的に保護が有効になるため、特別な対応は不要です。ただし、ダウンロードファイルを定期的にプレビューする場合を除き、既存のワークフローに影響はありません。
信頼できる提供元からのファイルをプレビューする必要がある場合は、インターネットセキュリティブロックを手動で解除できます。その方法は、ファイルエクスプローラーでファイルを右クリックし、「プロパティ」を選択し、全般タブの下部にある「ブロック解除」ボタンをクリックします。
ただし、これがすぐに反映されない場合があり、サインアウトして再度サインインする必要がある場合があります。
また、インターネットゾーンのファイル共有上のすべてのファイルについてプレビューブロックを解除するには、インターネットオプション コントロールパネルのセキュリティタブから、ファイル共有のアドレスを「信頼済みサイト」または「ローカルイントラネット」セキュリティゾーンに追加する方法もあります。
