米国企業 Independent Security Evaluators (ISE) が今週発表した最近の研究論文では、 Windows 10 の最も人気のある 4 つのパスワード マネージャーに重大なセキュリティ上の欠陥があることがわかりました。このプログラムは、ログイン データをコンピュータの RAM に渡すように設計されており、ハッカーがこれらのデータに特別にアクセスできるようにします。
Windows 10の抜け穴: これらのパスワードマネージャーは危険です
攻撃者がすでに PC をマルウェアに感染させている場合、パスワード ソフトウェアがアクティブになるとすぐに機密情報を簡単に読み取ることができます。
ISE によって詳細に調査された、次の Windows 10 用の 4 つのパスワード マネージャーが影響を受けます。
- 1パスワード
- ダッシュレーン
- キーパス
- ラストパス
Windows 10 プログラムが常にパスワードを暗号化し、PC のバックグラウンド プロセスでパスワードを削除するとは限らないことを知って、専門家は驚いたようです。これは、保存されている他のすべてのパスワードのロックを解除するマスター パスワードさえも脆弱であることを意味します。
パスワードマネージャーにはさまざまなリスクがあります
1Password の場合、セキュリティ専門家は「RAM から機密データを削除するには、ユーザーがソフトウェアを完全に終了する必要がある」と指摘しています。たとえば、Dashlane を使用すると、パスワードの 1 つを更新するときにデータベース全体が平文で表示されます。
専門家によれば、パスワード マネージャーを使用しているユーザーは非常に多いため、これらのセキュリティ上のギャップは、ハッカーがマルウェアを介してデータを盗む特に動機となっています。
実際に脅威はあるのでしょうか?
一方、影響を受ける Windows 10 のパスワード マネージャー プログラムを開発している企業は、ISE の調査結果で概説された脅威は容認できないと考えています。
1Password は PCmag に対し、「この問題によってもたらされる脅威は限定的です。マルウェアに感染したコンピュータ上で完全に安全に動作することを約束できるパスワード マネージャーはありません。」
それはできますよ
ISE によると、一般に、パスワード マネージャー プログラムの制限を常に考慮する必要があります。キーロギング、スクリーンショットの撮影、またはテキストのコピーが可能なマルウェアに PC が感染すると、ログイン情報は安全でなくなる可能性があります。
推奨事項として、追加の信頼できるウイルス対策ソフトウェアを使用し、パスワード マネージャーの使用が終了したら必ず完全にシャットダウンする必要があります。
ただし、これまでは安全なパスワード用のソフトウェアも注意して使用する必要がありました。 パスワード マネージャーに影響を与える悪意のある Android アプリの報告があります。 パスワード マネージャー Keeper for Widows 10 にもセキュリティ ホールが見つかっています。ちなみに、 データがハッカーによって盗まれたかどうかはオンラインで調べることができます。