おなじみのトレードオフを伴うセキュリティ上の発見
Microsoftは、改めて注目を集めているブラウザーの挙動を擁護している。Edgeで管理される保存済みパスワードが、RAM上ではプレーンテキストで存在しうるというものだ。提供された原文によると、セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏は、ユーザーがEdgeのMicrosoft Password Managerに依存している場合、ブラウザーは起動時に認証情報を復号し、そのセッション中にその認証情報に紐づくサイトへ一度もアクセスしなくても、それらをプロセスメモリに保持することを示した。
原文にも含まれているMicrosoftの反応は、これがソフトウェアの不具合ではなく、想定された挙動だというものだ。同社はZDNETに対し、メモリ上のパスワードデータにブラウザーがアクセスできることは、アプリケーションがユーザーに迅速かつ安全にサインインしてもらうための仕組みの一部だと説明した。また、この状態を悪用するには、端末がすでに侵害されている必要があるとも付け加えた。
こうした立場の組み合わせこそが、この話を重要にしている。問題は、修正を待つ隠れた欠陥として描かれているわけではない。むしろ、性能と利便性を、侵害が成功した場合の結果と天秤にかける、受け入れられた設計上のトレードオフという、居心地の悪い領域に置かれている。
研究者が示したこと
Rønning氏は、この挙動を示すためにEdgeSavedPasswordsDumperと呼ばれるコードをGitHubに公開した。原文によれば、このツールは、EdgeのMicrosoft Password Managerを使っているユーザーの認証情報が、ブラウザのプロセスメモリ内でプレーンテキストとして見つかりうることを示している。これは議論の焦点を絞るうえで重要だ。今回の発見は、製品の保存機構内部でパスワードが保存時に暗号化されているかどうかを問うものではない。ブラウザーが実使用のためにすでにそれらを復号した後に何が起きるのか、という点に関するものだ。
研究者はまた、ユーザー体験上の見かけの矛盾も指摘した。Edgeでは、Password Managerの画面でパスワードを表示する前に再認証を求めることがある一方で、ブラウザープロセス内にはすでに同じパスワードがプレーンテキストで存在している可能性がある。この、インターフェース上の保護と実行時の露出との間の差が、技術に詳しいユーザーを不安にさせる部分だろう。
それでも原文は、Microsoftの基本的な主張、つまりこれは低コストで実行できるリモート攻撃ではないという点も裏付けている。記述されたシナリオは、攻撃者がすでに管理者権限を持つユーザーアカウントを侵害していることを前提としている。それによってこの問題の重要性が消えるわけではないが、侵入の初動ではなく、攻撃チェーンの後段に位置づけられることにはなる。
