コルタナの脆弱性が、サイバー犯罪者にWindows10を搭載したデバイスのロック画面をバイパスさせてしまう危険性
デジタル・アシスタントは私たちに天気を教えてくれたり好きな音楽をかけてくれたり個人情報へのアクセスを容易にしてくれています。アマゾンのアレクサ、グーグルホーム、そしてマイクロソフトのコルタナなどのサービスは最近、非常に人気があります。しかし、マカフィーラボのAdvanced Threats Research (ATR) チームはコルタナのサービスの人気は簡単に覆される危険があることを確認し、マイクロソフトに対してWindows10とコルタナの音声アシストのデフォルト設定の脆弱性を報告しました。それにより具体的にどのようなことが出来たのか、またカフェでPCを使用する際などに、ぜひ気を付けていただきたいセキュリティ上のヒントをお伝えします。
ロック画面から起動が可能に
この脆弱性を利用して、コルタナから情報を取得したり、Windowsのロック画面からアプリケーションを起動したり、ユーザーがコンピュータとやり取りしなくてもWindows 10のデバイスにログインしたりすることが可能です。
この脆弱性を悪用されるとどのような被害の可能性があるかというと、例えばあなたが行きつけのカフェでくつろいでいる時にトイレに行きたくなったとします。日頃から気を付けている人であれば、PCを閉じたり、画面をロックしてから席を立つでしょう。しかし、この脆弱性があることを知っている人がもし近くにいたとしたら、「ヘイ、コルタナ」と話しかけ、その後は簡単な操作でPCを再起動させることなく、PC内の情報に簡単にアクセスすることができてしまうのです。
この脆弱性により、どのようなことが出来たのか
この脆弱性を利用して、マカフィーのリサーチャーであるセデリック・コーチンは、コルタナがロックされたデバイスの要求や質問を聞き始めたときに入力するだけで、検索メニューを表示することを確認しました。コーチンはコルタナに話しかけることすらせず、単純に「タップして、こう言ってみてください」をタップ(またはクリック)して文字を入力するだけでした。その時点で、彼はドキュメントやその他のファイルも含まれた検索結果上にカーソルを合わせ、それらがどこに保存されているかを見ることができました。さらに彼は一歩進んで、特定の機密ファイルや情報にアクセスする手段も探し当てました。
サイバー犯罪者ができることには限界がありますが、目当てのファイルを探し出すことは可能ということがわかりました。詳しくはマカフィーラボのこのトピックについてのブログ*1に記載されています。これらの方法を活用することによりサイバー犯罪者は、この脆弱性を悪用して、Windows 10を搭載したPC等のデバイスがたとえロックされていても、そのパスワードを再設定するような悪質な操作を行うことができるのです。ほんの数秒で、攻撃者はデバイスに完全にアクセスすることができます。
この記事を皆さんが見られる時点ではすでにアップデートされている可能性が高いですが、この脆弱性が発見されたことで、この脅威の犠牲にならないためにはどうすれば良いか、という疑問がわいてくるでしょう。その答えは以下のセキュリティ上のヒントに従ってください。
■コンピュータの側を離れない
この脆弱性により、コルタナを使ってWindows 10搭載のPCやデバイスに物理的にアクセスすることできるということを認識しておきましょう。この脆弱性の存在が明るみに出たことで、マイクロソフトのアップデートについてよく注意を払う必要があります。またカフェでPCを置いたままにしたりせずに、携帯しましょう。
■今すぐ、アップデート
幸い、この記事を公開した6/12はパッチ・チューズデイ!(Patch Tuesday)*2 でした。マイクロソフトは、Windows 10のデバイスを守るためにこの脆弱性を修復するパッチを発行しました。皆さんお持ちのPCほかWindows10デバイスを直ちにアップデートしてください。特に、たまにしか自宅のPCを立ち上げない、という人は要注意です。
*1 本ブログ公開時は英文記事を参照。翻訳版は後日公開予定。
*2 マイクロソフト社がいつも火曜日にセキュリティーパッチを発行することから業界で使われている用語。
