KeeperフォースフィールドがMicrosoft Edgeのパスワード脆弱性を防ぐ方法

新たな調査によって、Microsoft Edgeは、保存されたすべてのパスワードをプレーンテキストでメモリに読み込んでいることが明らかになりました。Keeperフォースフィールドは、まさにこうした脆弱性から保護するために設計されています。

あるセキュリティ研究者が最近、「EdgeSavedPasswordsDumper」というツールを公開しました。このツールは、Edgeに保存されている認証情報を、ブラウザの親プロセスのメモリから直接抽出するものです。 エクスプロイトは必要なく、十分なシステム権限があれば可能です。 Microsoftによると、この挙動は仕様によるものであり、修正の意向は示されていません。つまり、Edgeの組み込みパスワードマネージャーを使用している組織は、脆弱性を抱えたまま放置され、修正パッチは提供されないことになります。

この記事では、脆弱性の実態と、そもそもブラウザベースのパスワードストレージがこの種のリスクを引き起こす理由、そしてKeeperでは、それをどのように異なる方法で対処するかをご説明します。

Microsoft Edgeのパスワード脆弱性とは何ですか？

Edgeにパスワードを保存すると、どこかにログインする際、その認証情報は、単にメモリに保持されるだけではありません。 Edgeは、保存されたすべてのパスワードを親プロセスのメモリに一括で読み込みます。つまり、ブラウザが開いている間は、すべてのユーザー名とパスワードがプレーンテキストのままそこに保存されることになります。 攻撃者やマルウェアがマシンにローカルでアクセスできる場合、そのメモリをダンプしてすべての認証情報を手に入れることが可能になります。

この研究者はChromeとBraveでもテストを実施しましたが、同様の挙動は見られませんでした。このことから、この欠陥はChromiumベースのブラウザ全体に共通するものではなく、EdgeとMicrosoft Password Managerの統合方法に特有のものであることが示唆されます。

タスクマネージャーのような標準的なWindowsツールを使えば、適切なプロセスを特定し、その内容をダンプするのに十分です。またこの研究者は、.NET Framework 3.5を使用して概念実証 (POC) を構築しました。これは、AMSIなどの最新のセキュリティスキャンツールを検知させないよう意図的に選択されたものです。つまりこれは、多くの組織が依存している防御システムを起動させることなく、侵害されたマシン上でこの攻撃を実行できることを意味します。

マイクロソフトは、この挙動が仕様によるものであるとの立場を取っているため、ベンダーによる修正を待っている組織には、問題を解決する手段が一切残されていません。 唯一の解決策は、Edgeに保存されているパスワードを完全に削除することです。

ブラウザにパスワードを保存することがセキュリティリスクになる理由

Edgeの脆弱性は、ブラウザベースのパスワード保存に伴うリスクを如実に示す事例です。 認証情報がブラウザ内に存在する場合、それはそのブラウザのプロセスに紐づけられます。 問題は、パスワードがメモリ内に存在するかどうかではありません。ブラウザが動作している限り、常にメモリ内に存在しているからです。 重要なのは、そのメモリがどのくらい露出しているか、またどれほどアクセスが困難であるかという点です。

EdgeはMicrosoft Password Managerと緊密に連携しているため、他のChromiumベースのブラウザに比べて、かなり脆弱性が高いようです。 しかし、「ローカルアクセス権を持つ者なら誰でもブラウザのメモリ内の認証情報にアクセスできてしまう」という根本的な問題は、Edgeに限ったことではありません。情報窃取型マルウェアは、ブラウザから認証情報を盗み出すために特別に開発されたマルウェアの一種であり、長年にわたりこの攻撃対象を標的にしています。

ブラウザベースのパスワード管理は便利であるからこそ、多くの人々に利用されています。 しかし、利便性とセキュリティはここでは相反するものであり、Edgeの脆弱性は、そのトレードオフが実際にどのようなものかを分かりやすく示す好例と言えるでしょう。

Keeperフォースフィールドがブラウザのパスワード盗難を防ぐ方法

これこそが、Keeperフォースフィールドが阻止することを目的とした、まさにその種の攻撃です。

Windowsでは、同じユーザーアカウントで実行されているアプリケーションは、デフォルトで互いのメモリにアクセスできます。EdgeSavedPasswordsDumperは、まさにこの仕組みを悪用するものです。 Keeperフォースフィールドは、保護対象のアプリケーションへのメモリのアクセスを監視および制限する軽量なドライバをインストールすることで、カーネルレベルでこれに対処します。 信頼できないプロセスが保護対象アプリのメモリを読み取ろうとすると、ドライバによってブロックされます。 信頼できるシステムプロセスは通常通り動作し続け、不正なアクセスだけが阻止されます。

これが具体的に表れているのは、上記のコードスクリーンショットで強調表示されているOpenProcessの呼び出し部分です。 これは、ダンプツールがEdgeの親プロセスに接続し、そのメモリを読み取ろうとする段階です。 Keeperフォースフィールドを実行しているマシンでは、この呼び出しは失敗します。 カーネルドライバは、メモリが読み取られる前にアクセス要求を傍受し、攻撃が成立するのに不可欠な段階においてこれを阻止します。

Keeperフォースフィールドは、Keeper独自のアプリケーションに加え、Chrome、Firefox、Edge、Brave、Opera、Vivaldiなどの主要なブラウザも保護するため、組織が使用するブラウザの種類にかかわらず、保護が適用されます。 Keeperフォースフィールドはシステムやアプリケーションのパフォーマンスに影響を与えることなく、バックグラウンドで静かに動作します。Keeperデスクトップアプリから直接起動できるほか、Intune、Group Policy、RMMツールを介してエンドポイント全体にサイレントに展開させることも可能です。

Microsoft Edgeの脆弱性からパスワードを保護する方法

Edgeの組み込みパスワードマネージャーを使用している場合、Edgeを起動しているすべてのマシンでは、認証情報がプレーンテキストのままメモリ上に保存されます。 侵害されたマシンや共有マシンでは、それが情報漏洩への容易な道筋となります。

実用的な対処法は、パスワードをブラウザから切り離し、ブラウザのプロセスとは独立して動作するKeeperのような専用のパスワードマネージャーに移すことです。 認証情報がブラウザのメモリに保存されていなければ、そこから取得できるものは何もありません。 さらに、Keeperフォースフィールドを有効にすると、ブラウザ全体にカーネルレベルの保護が適用されます。そのため、たとえマシン上でマルウェアがすでに実行されていたとしても、不正なプロセスによるアプリケーションメモリの読み取りを阻止できます。

結論

ベンダーからのパッチ提供を当てにすることはできません。 チームでEdgeの組み込みパスワードマネージャーを使用しているなら、現在、情報漏洩のリスクが発生しています。 認証情報を専用のパスワードマネージャーに移動し、Keeperフォースフィールドを導入すれば、万が一マシンが侵害された場合でも、ブラウザのメモリから抽出される情報は一切存在しません。

ぜひKeeperの無料トライアルをご利用の上、Keeperフォースフィールドが組織のエンドポイントをどのように保護するかをご体験ください。