最近、研究者のグループが、パスワード回復の質問を使用してWindows 10PCに侵入するシナリオについて説明しました。 これにより、機能を無効にすることを提案する人もいます。 ただし、自宅のコンピューターユーザーの場合は、これを行う必要はありません。
それで、ここで何が起こっているのですか?
NS Ars Technica 最初に報告されたように、Windows 10は、過去1年間にローカルアカウントにパスワード回復の質問を設定するオプションを追加しました。 セキュリティ研究者はこれを掘り下げ、ビジネスネットワーク上でこれが潜在的な脆弱性につながる可能性があることを発見しました。
すぐに、2つの重要なポイントを見つけることができます。
まず、シナリオ全体は、ドメインネットワークに参加しているコンピューターに依存しています。これは、管理対象コンピューターを備えたビジネスネットワークで見られるようなものです。
次に、この脆弱性はローカルアカウントに適用されます。 PCがドメインの一部である場合、ローカルアカウントではなく、ほぼ確実に一元化されたドメインユーザーアカウントを使用しているため、これは特に興味深いものです。 また、セキュリティの質問は、デフォルトではドメインアカウントでは許可されていません。
さらに重要な3番目のポイントもあります。 これらはすべて、悪意のある攻撃者が最初にネットワーク上の管理者レベルのアクセスを取得する必要があります。 そこから、ネットワークに接続されていてまだローカルアカウントを持っているマシンを特定し、それらのアカウントにセキュリティの質問を追加できます。
なぜわざわざ?
管理者が悪意のあるアクターのアクセスを発見して取り消し、その後すべてのパスワードを変更した場合、理論的には、アクターはネットワークに戻ってこれらのマシンに戻り、カスタムの質問を使用してこれらのパスワードをリセットし、フルアクセスを取り戻すことができます。 。
研究者たちは、ハッシュツールを使用して以前のパスワードを特定し、古いパスワードを復元してアクセスを隠すこともできると提案しました。 ここでの問題は、ほとんどのドメインネットワークがデフォルトで再利用されたパスワードを許可していないことです。
Ars TechnicaがMicrosoftにコメントを求めたとき、応答は短かった。
説明されている手法では、攻撃者がすでに管理者アクセス権を持っている必要があります
それは最初は鈍感に思えるかもしれませんが、Microsoftが示唆していることは正しいことであり、それは私たちに問題の真の核心をもたらします。 悪意のある攻撃者がネットワーク上で管理者レベルのアクセス権を取得すると、潜在的な被害と攻撃の手段は、単純なパスワードリセットのトリックをはるかに超えます。 また、ネットワークが十分に堅牢で、悪意のある攻撃者が管理レベルを取得するのを防ぐことができる場合、これはすべて意味がありません。
したがって、最終的には、悪意のある攻撃者は、Windowsドメインを使用するビジネスネットワークへの管理者レベルのアクセスを取得し、ローカルアカウントを持っている可能性のあるコンピューターを見つけて、セキュリティの質問を作成して、それらに戻ることができるようにする必要があります。コンピューターが検出されてロックアウトされた場合。 そして、彼らの管理者レベルのアクセスが彼らにすでにはるかに多くの害を及ぼす能力を与えるとき、私たちはそれについて心配することになっています。
とった。 それで、これは私に当てはまりますか?
自宅でWindows10コンピューターを使用している場合、簡単な答えはほぼ間違いなくそうではありません。 そして、その理由は次のとおりです。
自宅のPCがドメインに参加していない可能性があります。
たとえそうであったとしても、ローカルアカウントを使用する必要があり、Windows 10のほとんどの人はおそらくMicrosoftアカウントを使用してサインインしています。これは、Windows10が多くの機能を正しく機能させるためにMicrosoftアカウントを使用する必要があるためです。 代わりに、ローカルアカウントを作成するためにいくつかの追加手順を実行できますが、Microsoftはそれを最も明白な選択とはしていません。 Microsoftアカウントを使用している場合、パスワードリセットの質問を使用するオプションはありません。
これを利用するには、誰かがあなたのPCにリモートまたは物理的にアクセスできる必要があります。 そして、そのレベルのアクセスで、パスワードリセットの質問はあなたの心配の最も少ないです。
したがって、この調査のいずれもあなたに当てはまらない可能性は非常に高いです。 ただし、ドメインに参加しているローカルアカウントを使用している場合でも、これはすべて、古くからの一連の質問に帰着します。 セキュリティの名目でどれだけの利便性をあきらめるべきですか? 逆に、利便性の名目でどれだけのセキュリティを放棄する必要がありますか?
この場合、悪意のある攻撃者がマシンにアクセスし、セキュリティの質問を使用して完全な制御を取得する可能性は非常に低くなります。 また、パスワードを忘れて質問が必要になる可能性は少し高くなります。 あなたの状況を把握し、あなたにとって最良の選択をしてください。
