検索
ニュース

Microsoft公認の裏ルート? Windowsにわざと残した“セキュリティの穴”とは:828thLap

パスワード流出の可能性がある場合、多くの人はすぐにパスワードを変更する。だが、Windowsのある仕様が、その防衛策を無意味にしてしまう可能性があるという。

[キーマンズネット] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 パスワードが流出、またはその疑いがある場合、多くの人は真っ先にパスワードを変更するだろう。これは最も基本的で、かつ効果的な自己防衛策の一つだ。

 ところが、その防衛策を無意味なものにする“Windowsのある仕様”が今、セキュリティ業界で大きな議論を呼んでいる。一部の専門家は「ユーザーに深刻な影響を及ぼす可能性がある」と警鐘を鳴らしている。その“仕様”とは。そして、それがあなたの環境にも起こり得るとしたら……?

 その抜け道とは「リモートデスクトップ」に関するものだ。Windows Proエディションに標準搭載されている機能で、他のPCやスマートフォンからネットワーク経由でWindowsのデスクトップ環境にアクセスし、操作できるツールだ。このリモート接続には「Remote Desktop Protocol」(RDP)というプロトコルが使われており、まるで直接PCにログインしているかのような操作が可能になる。

 ところが、Tech系メディア「Ars Technica」が報じたところによると、RDPには思わぬ仕様があることが分かった。Windowsでログインパスワードを変更しても、古いパスワードでRDPを使ってログインできてしまうという。

 この問題はセキュリティ研究者のダニエル・ウェイド氏によって発見され、Microsoftに報告された。ウェイド氏は、「ユーザーがパスワードを変更すれば、それまでアクセス可能だったデバイスやサービスに接続できなくなるのが普通だ」という一般的な期待に反しているとし、「これは信頼性の崩壊につながる」と警告した。

 一方、Microsoftの見解は異なる。同社はこの挙動を「意図された設計」と説明。システムがオフラインであっても、最低1つのアカウントがログイン可能であることを保証するための仕様だとし、脆弱(ぜいじゃく)性とは見なしておらず、修正の予定もないとしている。

 この現象が起きるのは「Microsoftアカウント」または「Azureアカウント」でサインインされたWindows環境で、リモートデスクトップが有効になっている場合だ。初回ログイン時にオンラインで認証された資格情報は暗号化されてローカルに保存され、以後RDPではローカルに保存された情報と入力されたパスワードが照合される仕組みだ。これにより、たとえパスワードを変更しても、キャッシュされた古いパスワードでのログインが可能になる。

 ウェイド氏はこの仕様のリスクとして、古いパスワードが複数有効なまま残ることで、意図しないRDPアクセスが永続的に可能になる恐れがあると指摘する。特に、パスワードが漏りした場合、この挙動が大きな損害をもたらす可能性があると警鐘を鳴らしている。そして、「これは、パスワードが一度でもキャッシュされたWindowsマシンに“静かなリモートバックドア”が作られるのと同じだ」と強く非難している。

 Microsoftはその後、公式ドキュメントにこの仕様に関する注意書きを追加した。ただし同社によると、ウェイド氏がこの問題を初めて報告したわけではなく、2023年8月にも他の研究者から報告があったとしている。

 MicrosoftアカウントやAzureアカウントの情報が漏えいした場合、たとえパスワードを変更しても、RDPを通じてリモート操作される危険があるというのは非常に深刻な問題だ。この仕様が果たして将来的に見直されるのだろうか。


上司X

上司X: Windowsのリモートデスクトップ機能で、アクセスに必要なパスワードを変更したとしても古いパスワードが有効なままってという話だよ。


ブラックピット

ブラックピット: 古いパスワードが有効なまま、というのは解せませんねえ。


上司X

上司X: 「システムがオフラインになってからどれだけ時間が経過しても、少なくとも1つのユーザーアカウントが常にログインできるようにするため」だというのがMicrosoftの主張なんだが……。


ブラックピット

ブラックピット: パスワードが第三者によって一方的に変更されたとき、RDP経由でログインできなくなる事態が生じることを避ける、ということでしょうか?


上司X

上司X: そういうことなのかな?


ブラックピット

ブラックピット: 自分でこの話題を紹介しておいてよく分かってないってどういうことですか(苦笑)


上司X

上司X: でも実際、資格情報をキャッシュしようがしまいが、変更したパスワードをそのまま使える仕様、というのは問題な気がするけどなあ。


ブラックピット

ブラックピット: 問題でしょうねえ。気になるのであれば、やはりリモートデスクトップ機能自体を無効にしておく必要がありそうですね。まあ、僕はそもそも使ってませんけど。


上司X

上司X: 人ごとというわけか(苦笑)。だが、ユーザーにとっては仕様とはいえちょっとした問題になるのは間違いないだろう。パスワードを漏らさないことは重要なのは言うまでもないが、この問題が明らかになった今、特にリモートデスクトップユーザーは注意しておく必要があるかもしれないな。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る