Microsoftは10月22日(米国時間)、「File Explorer automatically disables the preview feature for files downloaded from the internet - Microsoft Support」において、インターネットからダウンロードした安全でないファイルのプレビュー表示を無効にしたと発表した。

この無効化は10月のセキュリティ更新プログラムに含まれており、エクスプローラーのプレビューペイン(プレビューウィンドウ)に警告メッセージが表示されるようになる。

  • File Explorer automatically disables the preview feature for files downloaded from the internet - Microsoft Support

    File Explorer automatically disables the preview feature for files downloaded from the internet - Microsoft Support

プレビュー表示のリスク

エクスプローラーのプレビュー表示機能は、ファイルを開かずに内容の閲覧を可能にする機能だ。アプリを起動することなく内容を確認できることから、業務効率の改善につながると期待されている。しかしながら、今回この機能に脆弱性が存在することが明らかになった。

Microsoftの発表によると、外部パスを参照するHTMLタグ(<link>、<src>など)を含むファイルをプレビューした場合に、NTLMハッシュを漏洩する可能性があるという。脆弱性を悪用されてNTLMハッシュを窃取されると、レインボーテーブル攻撃などによりパスワードを特定される可能性がある。

警告メッセージを表示する軽減策を追加

脆弱性の軽減策は10月の更新プログラムに含まれている。Windows 11およびWindows Serverに更新プログラムをインストールすると、MoTWマーク(MoTW: Mark-of-the-Web)の存在するファイルに対して次の警告メッセージを表示するようになる。

「The file you are attempting to preview could harm your computer. If you trust the file and the source you received it from, open it to view its contents.(プレビュー表示をしようとしているファイルは、コンピューターに問題を起こす可能性があります。このファイルとその発行元を信頼する場合は、ファイルを開いて内容を参照してください)」

  • 更新プログラム適用前(上)と適用後(下)のプレビュー表示例

    更新プログラム適用前(上)と適用後(下)のプレビュー表示例

これは脆弱性の修正ではない点に注意が必要。MoTWマークの無効化や削除などの操作を行うと、再びプレビュー表示で攻撃が可能となる。なお、ファイルプロパティの「全般」タブに含まれるセキュリティセクションの「許可する」をチェックした場合も、プレビュー表示を許可することになる。

UNCパスが原因の可能性

同社は脆弱性の詳細を明らかにしていないが、2025年4月に公開されたLNKファイルの脆弱性と関係があるものと推測される。これはエクスプローラーがLNKファイルに埋め込まれたUNCパスを自動的に解析し、右クリック操作で攻撃者の外部リソースにアクセスする脆弱性。この件と同様にNTLMハッシュを漏洩する可能性が指摘されている(参考:「Windows LNKファイルの右クリックに脆弱性か、Microsoftは安全性主張 | TECH+(テックプラス)」)。

この障害がこの脆弱性と同様の処理により引き起こされる場合、HTMLファイルにUNCパスを埋め込むだけで攻撃可能と推測される。4月に脆弱性を発表した際、Microsoftは「サービス提供のセキュリティ基準を満たしていない」として対応を拒否していた。これはMoTWマークによる保護が機能するためとされる。

10月の更新プログラムに加えられた軽減策もMoTWマークによる保護であり、同種の脆弱性の可能性を想起させる。その真偽の程は定かではないが、Microsoftには軽減策の提供にとどまらず根本的な対策が望まれている。