私は当トピック(件名)の「追試・検証を実施していません」が、
(問題の深刻さを踏まえて)速報性を優先し、下記の記事を引用します。
出典:
Your browser stores passwords and sensitive data in clear text in memory - gHacks Tech NewsMartin Brinkmann
Jun 12, 2022
その要旨(意訳)
CyberArk のセキュリティ研究者 Zeev Ben Porat 氏によると「Web ブラウザはユーザー名、パスワード、セッションクッキーを含む機密データを平文でメモリに保存している可能性がある」とのこと。
https://www.ghacks.net/wp-content/uploa ... e-data.pngGoogle Chrome を含む、ほとんどの Chromium ベースのウェブブラウザ(Microsoft Edge、Brave、など)が影響を受けますが、ローカルの Windows 11 システムでの簡単なテストでは Firefox などのブラウザもこの問題の影響を受けることが確認されました。
データの抽出には、リモートアクセスや対象マシン上で動作しているソフトウェアへのアクセスで十分なため、対象マシンへの物理的なアクセスは必要ありません。抽出は、同一マシン上で動作している非昇格プロセスから行うことが可能です。
ユーザー名やパスワードなどのクレデンシャルデータを抽出するためには、ユーザーが入力する必要があるが、Zeev Ben Porat 氏は「ブラウザのパスワードマネージャに保存されているすべてのパスワードをメモリに読み込む」ことが可能であると指摘している。
セッションクッキーのデータもメモリ内に存在する場合、2要素認証のセキュリティではユーザーアカウントを保護しきれない可能性があり、データを抽出することでそのデータを利用したセッションハイジャック攻撃につながる可能性があります。
この問題は Google に通報されたが、すぐに「wont fix」のステータスを得ました。与えられた理由は「Chromium は物理的なローカルアクセス攻撃に関連する問題を修正しない」というものです。
Zeev Ben Porat は、CyberArk のブログでフォローアップ記事を公開し、
Go BLUE! A Protection Plan for Credentials in Chromium-based Browsers緩和策とこの問題を悪用するさまざまな種類の攻撃について説明しています。
ブラウザのテスト方法
Windows ユーザは、無料ツール
Process Hacker を使用してブラウザをテストすることができます。ポータブル版のプログラムをダウンロードし、アーカイブを解凍して、Process Hacker の実行ファイルを実行するだけで、すぐに始められます。
テストしたいブラウザに、ユーザー名やパスワードなどの機密データを入力します。
1. プロセス一覧でメインブラウザのプロセスをダブルクリックし、詳細を表示します。
2. 「Memory」タブに切り替えます。
3. [Strings]ボタンを有効にします。
4. [OK]を選択する。
5. 開いたウィンドウの[フィルタ]ボタンをアクティブにし、コンテキストメニューから[contains]を選択する。
6. Enter the filter pattern フィールドにパスワードやその他の機密情報を入力し、[OK]を選択する。
7. Process Hacker は、プロセスメモリ内にデータが見つかった場合、そのデータを返します。
ログイン
ユーザー登録
FAQ
検索
