Neowinは5月5日(米国時間)、「Edge may reportedly leak all your passwords easily and Microsoft says it's "by design" - Neowin」において、Microsoft Edgeに保管されたパスワードを抽出する概念実証(PoC: Proof of Concept)ツールの「EdgeSavedPasswordsDumper」が公開されたと報じた。

このPoCツールはハンドルネーム「Tom Jøran Sønstebyseter Rønning」として知られるセキュリティ研究者により公開された。研究者はWebブラウザごとに異なるパスワード処理を実証する検証ツールと主張し、悪用を勧める意図はないとしている。

  • Edgeの保存パスワードを抽出可能とするPoCが公開された

    Edgeの保存パスワードを抽出可能とするPoCが公開された

Edgeのパスワードはなぜ抽出できるのか

研究者によると、Microsoft Edgeの親プロセスには、復号化された平文のパスワードをメモリ上に常時保持する問題があるという。攻撃者はこの仕組みを悪用し、メモリダンプを取得することでパスワードの抽出が可能とされる。実際の抽出には必要なシステム権限を取得する必要があるため、ツールをそのまま悪用することは困難とみられている。

しかしながら、ターミナルサーバなどのマルチユーザー環境では、管理者によるパスワードの抽出が可能。

特に危険なのはどんな環境か

個人所有のWindows環境への影響は低いと予想されるが、シンクライアント化された企業環境において、管理者によりEdgeへ保存されたパスワードを抽出される可能性があると指摘されている。

Microsoftが「仕様」と説明した理由

研究者はこのことをMicrosoftに報告したが、同社は設計上の仕様を主張し、「修正する予定はない」と述べたとされる。これは必要な瞬間だけパスワードを復号化する仕組みに変更しても、メモリを監視することで抽出できてしまうことがその理由とみられる。

しかしながら、Neowinによるとパスワードの平文保持はEdge特有の仕組みで、Google ChromeやBraveでは必要な瞬間だけ保持する仕組みを採用しているという。パスワードの抽出難易度は明らかに前者の方が簡単であり、難易度を上げる努力は行うべきだろう。

ブラウザに保存したパスワードはどう管理すべきか

いずれにせよ、今回の件はマルチユーザー環境におけるパスワード保護の難しさを浮き彫りにしている。企業ユーザーは、会社側に把握されても問題のないパスワードのみを適正に利用し、プライベートなアカウント情報はシンクライアント環境において一切扱わないことが推奨される。