Microsoft Boosts Windows Security by Disabling File Previews for Downloads
2025/10/24 gbhackers — Microsoft は、Windows File Explorer に大幅なセキュリティ強化を導入した。2025年10月14日以降にリリースされたセキュリティ更新プログラムの一環として、インターネットからダウンロードしたファイルに対して、プレビュー・パネルが自動的に無効になる。この予防的対策は、ネットワーク認証に使用される NTLM ハッシュや、機密性の高い認証情報を盗み出すために、攻撃者が長年にわたり悪用してきた脆弱性に対処するものだ。この脆弱性により、ラテラル・ムーブメントやアカウントの乗っ取りが懸念され続けてきた。
今回の更新プログラムの背景となる脆弱性
Cyber Security News によると、この脆弱性は、外部リソースを参照するなどの HTML 要素を含むファイルを、Windows がプレビューする方法に起因している。
ユーザーが File Explorer を用いて、この種の悪意のファイルをプレビューすると、そこに埋め込まれた HTML 要素により不正なネットワーク・リクエストがトリガーされ、ユーザーの NTLM ハッシュが攻撃者に公開される可能性がある。
この手法は、Windows 環境を標的としたフィッシングやマルウェア攻撃で多用される攻撃ベクターとなっている。Kerberos などの最新の認証方式への移行が推進されているが、依然として NTLMv2 を使用している環境では、その影響が顕著となる。
慎重なアプローチをデフォルトとする Microsoft は、ユーザーによる手動操作を必要とせずにセキュリティを優先するようになった。その変化は、高度な認証情報窃取キャンペーンが蔓延する、危険な脅威環境において歓迎すべきものである。
この新しい動作は、Mark of the Web (MotW) 属性に基づいている。この属性は、インターネットを介したファイル共有などの、信頼できないソースからのファイルに自動的に適用されるものだ。
MotW 属性が付与されたファイルは、File Explorer でのプレビュー表示が無効化され、その代わりとして、明確な警告メッセージがユーザーに表示される。そのメッセージは、「プレビューしようとしているファイルは、コンピューターに損害を与える可能性がある。ファイルと送信元が信頼できる場合には、ファイルを開いて内容を表示できる」というものだ。
大半のユーザーにとって、この機能の影響は限定的であり、通常の作業は支障なく行える。プレビューの状態は、潜在的に危険なファイルに対してのみ無効となり、ローカル・ドキュメントと信頼できる共有は通常どおり機能する。
この保護機能は、追加の設定を必要とせずに、更新後に自動的に有効化される。IT 管理者とパワー・ユーザーは、従来の認証プロトコルが使用されている環境において、企業全体の攻撃対象領域が縮小されるというメリットを享受できる。
信頼できるダウンロードをプレビューする必要がある場合には、簡単な手順で対処できるが、その操作は慎重さを前提としたものになる。
File Explorer でファイルを右クリックし、”プロパティ” を選択した後に、”ブロックの解除” チェック・ボックスをオンにする。ただし、この変更は、次回のログイン時まで適用されない場合がある。
インターネット・ゾーン内のファイル共有については、コントロール・パネルの “インターネット・オプション” に移動し、”セキュリティ” タブにアクセスして、共有するアドレスをローカル・イントラネットまたは信頼済みサイト・ゾーンに追加する。
ただし、この方法は、対象となるソースからの全ファイルへの防御力を低下させるため、注意が必要である。
Microsoft の公式ガイダンスが強調するのは、既知のソースからのファイルだけを信頼すべきというものだ。この更新プログラムは、リスクを完全に排除するのではなく、リスクを軽減するものだと、同社は位置付けている。
サイバー脅威は進化し続けているが、このような段階的なセキュリティの改良は、日常的なワークフローを過度に複雑化させることなく、Windows のレジリエンスを維持するのに役立つ。この取り組みは、セキュリティとユーザー・エクスペリエンスのバランスをとるという、Microsoft の方針に沿ったものだ。
これまで、Windows のファイル・プレビュー機能が悪用され続け、認証情報が漏れるというインシデントが起こっていました。特に、NTLM ハッシュが外部に送信されてしまう仕組みは、長期間にわたって存在する脆弱な設計でした。ユーザーがファイルを開かずとも、プレビューだけで情報が流出することがあり、攻撃者にとって格好の攻撃経路になっていました。Microsoft がプレビューを自動で無効化したのは、その根本的な構造的リスクを減らすためだと、この記事は指摘しています。よろしければ、MotW で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.