Windows 11 の新機能:パスワードを保護する Enhanced Phishing Protection とは?

Windows 11 now warns when typing your password in Notepad, websites

2022/09/24 BleepingComputer — Windows 11 22H2 がリリースされ、安全ではないアプリケーションや Web サイトにおいて、Windows のパスワードを入力する際に警告する、新しいセキュリティ機能 Enhanced Phishing Protection が搭載された。Windows のログイン情報は、企業内ネットワークへのアクセスを伴う、データ窃盗やランサムウェア攻撃を可能にするため、脅威アクターにとって貴重なものである。一般的に、これらのパスワードはフィッシング攻撃などで不正に取得されるが、ワープロ/テキストエディタ/表計算ソフトなどの安全ではないアプリケーションに、ユーザーがパスワードを保存することでも不正に取得される。


また、フィッシングのログインフォームにパスワードを入力するだけで、送信は行わなくても、脅威アクターにパスワードを盗まれるケースもある。このような行為に対抗するために Microsoft は、Web サイトおよび安全ではないアプリケーションに対して、ユーザーが Windows パスワードを入力する際に警告を発する、Enhanced Phishing Protection という新機能を導入した。

Microsoft の Security Product Manager である Sinclaire Hamilton は、「SmartScreen は、報告済のフィッシング・サイトや、そこへ接続するアプリへのパスワード入力、あらゆるアプリ/サイトでのパスワード再利用、メモ帳/ワードパッド/Microsoft 365 アプリに入力された、パスワードを識別して保護する。IT 管理者は、CSP/MDM やグループ・ポリシーを通じて、エンドユーザーに対して傾向を表示するシナリオを設定できる」と説明している。

現時点において、この新機能は Windows 11 22H2 でのみ利用可能であり、また、デフォルトでは有効化されていない。さらに、Windows Hello を使用するのではなく、Windows パスワードで Windows にログインする必要がある。したがって、Windows へのログインに PIN を使用している場合には、この機能は動作しない。

この機能を有効にすると、Microsoft は Windows パスワードを入力したことを検出し、安全ではないファイルからパスワードを削除するように警告し、また、安全ではない Web サイト上で入力した場合には、Windows パスワードの変更を促す警告を表示する。

Alert when entering Windows passwords in an insecure application
Alert when entering Windows passwords in an insecure application

強化されたフィッシング対策を有効にする方法

Windows 11 22H2 では、デフォルトでフィッシング対策が有効化されているが、パスワードを保護するオプションは無効化されている。これらのオプションを有効にするには、Start > Settings > Privacy & security > Windows Security > App & browser control > Reputation-based protection の設定へと進む。

すると、Phishing Protection セクションの下に、”Warn me about password reuse” と “Warn me about unsafe password storage” という、2つの新しいオプションのラベルが表示される。

“Warn me about password reuse” オプションを有効にすると、フィッシング・サイトであっても正規サイトであっても、Web サイト上で Windows パスワードを入力したときに。警告が表示されるようになる。

“Warn me about unsafe password storage” オプションは、メモ帳/ワードパッド/Microsoft Office などのアプリケーションに、パスワードを入力してエンターキーを押したときに警告を表示する。

以下の画像で示すように、パスワードを保護する際には、両方のオプションにチェックマークを付けて有効化する。それぞれのオプションを有効にすると、Windows 11 はUAC プロンプトを表示するが、それを受け入れる必要がある。

Enabling password protection in Windows 11 22H2
Enabling password protection in Windows 11 22H2
Source: BleepingComputer

BleepingComputer は、この機能をテストするために、自分たちの Windows 11 22H2 デバイス上でテストア・カウントを作成し、パスワードをメモ帳に入力してみた。

以下のように、パスワードを入力してエンターキーを押すと、Windows 11 は “It’s unsafe to store your password in this app” という警告を表示し、ファイルから削除するよう推奨してきた。

Windows 11 warning when you enter your password in Notepad
Windows 11 warning when you enter your password in Notepad
Source: BleepingComputer

WordPad/Microsoft Word 2019/Excel 2019/OneNote/Notepad2などの、他のアプリケーションでも、この機能をテストした。ただし、この機能に対応していると、Microsoft 主張しているMicrosoft 365ではテストできなかった。

Windows 11 では、WordPad/Microsoft Word ではパスワード警告が行われたがExcel/OneNote/Notepad2 に入力する際には警告がなかった。おそらく、今後に修正されるはずだ。特に Microsoft Excel は、パスワードのリスト作成に使われることが多いため、注目する必要がある。

また、Google Chrome と Microsoft Edge を使って、Windows のパスワードで Twitter にログインしてみることで、パスワードの再利用機能を検証してみた。パスワードを入力すると、Windows 11 では以下のようなアラートが表示され、Windows のパスワードを変更するよう警告された。

Windows 11 warning about password reuse on a website
Windows 11 warning about password reuse on a website
Source: BleepingComputer

ただし、Mozilla Firefox をテストした際には、この Enhanced Phishing Protection は機能しなかった。

全体として、これは Windows ユーザーにとって、優れた新しいセキュリティ機能である。したがって、フィッシング攻撃や安全ではないファイルへの、パスワードの保存から身を守るために使用することが強く推奨される。

しかし Microsoft には、より多くのブラウザやアプリケーションをサポートするために、このセキュリティ機能を拡張してほしい。改善の余地は、まだ十分にあるはずだ。

なんらかの文字列であっても、それが Windows パスワードであれば、Windows 自身は判別できるわけですから、使い回しを抑制するために、また、不用心なかたちでの保存を排除するために、このような機能が成立します。それに加えて、ブラックリスト化されたサイトへの、パスワード入力も抑制できます。このような発想の延長線上に、もっと広がりが出てくると良いですね。

%d bloggers like this: