すでにお手元の環境でも更新されているかと思うが、Microsoftは米国時間2021年1月21日、安定版Microsoft Edgeをバージョン88に更新した。変更点の詳細はChangelogをご覧いただくとして、注目ポイントはセキュリティだ。
-
バージョン88.0.705.50となった安定版Microsoft Edge
新バージョンのリリースを告げる公式ブログのタイトルも「Microsoft Edge 88 Privacy and Security Updates」と命名して、パスワードやプライバシーに関する新機能をアピールしている。ここではいくつかの機能をかいつまんで紹介したい。
まずは、Webサイトへの新規登録時にパスワードを生成するパスワードジェネレーター。パスワードは時代遅れになりつつあるが、セキュリティキーや生体情報などを用いる多要素認証を有効にする前段階として欠かせない。また、パスワードを使い回すリスクも大きい。Microsoft Edge 88のパスワードジェネレーターは、無作為に生成した文字列をパスワードとして提案し、選択するとそのパスワードをMicrosoft Edgeに保存する。Microsoft EdgeをメインのWebブラウザーとして使っている場合、これまで有用だったパスワード管理ツールは不要になるだろう。
-
「強力なパスワードの提案」を選択することでパスワードを生成できる
もう1つはパスワードモニター。Microsoft Edge 88が保存するパスワード情報と、クラウド上のパスワード漏洩(ろうえい)情報を比較して、利用者にパスワードの更新をうながす機能だ。パスワードが漏洩したサイトにアクセスすると警告を発するが、漏洩チェックは定期的に行うため、スキャン完了時に警告メッセージが現れることも。パスワードモニターはすべてのMicrosoft Edge 88にはまだ展開されていないようで、筆者の環境も同様だったため、Microsoft Edge 89(Canry)を用いて一例を紹介しよう。
-
該当するサイトにアクセスするとパスワード漏洩を警告するメッセージが現れる
パスワードモニターの構造はMicrosoft Researchの公式ブログで説明されている。基盤にはMicrosoft ResearchのHomomorphic Encryption(ホモフィック暗号化)が存在し、準同型暗号として実装したMicrosoft SEALを用いている。SEALは「Simple Encrypted Arithmetic Library」の略だ。
Microsoft Edge 88に保存したパスワードのハッシュ情報をOPRF(Oblivious Pseudo-Random Function)と呼ばれる機能でクラウドに問い合わせるが、ユーザー名やパスワード情報をMicrosoftに知られてしまう? という抵抗感や、通信中の情報を抜く中間者攻撃のリスクが心配かもしれない。
Microsoft Researchは、先のハッシュ情報を用いることで辞書攻撃を抑制。クライアントはホモフィック暗号化を用いてユーザー名・パスワード情報を暗号化した情報をサーバーに送信し、サーバーは暗号化済みパスワードが一致する関数を評価する。その結果をクライアントにTrueまたはFalseで返して、ユーザー名・パスワード情報の学習を抑制させていると説明した。
-
パスワードモニターの構造(公式ブログから抜粋)
筆者もパスワード漏洩したサイトが数十におよんでおり、早急に対応しなければならないと思いつつも、日常的に使用するサイトではないため、後手に回っている。読者諸氏もMicrosoft Edge 88に更新し、パスワードモニター機能の展開が始まったら、一日仕事を覚悟してパスワード管理に取り組んでいただきたい。
