この動きは、セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏が5月4日に、**Edge**の組み込みパスワードマネージャーに保存されているすべての認証情報が、使用されていない場合でも起動時に復号化され、メモリ内に保持されていることを明らかにした後に起こりました。これにより、十分な権限を持つ悪意のある攻撃者にとって潜在的な攻撃ベクトルが露呈しました。 ## PoCと当初の対応 Rønning氏は、[GitHub](https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper)で入手可能な概念実証（PoC）ツールも公開しました。このツールは、管理者権限を持つ攻撃者が他のユーザーの**Edge**プロセスからパスワードをダンプする方法を示しています。管理者権限がない場合でも、PoCは同じユーザーによって起動された**Edge**プロセスにアクセスできます。同氏はこの問題を**Microsoft**に報告しましたが、「仕様通り」であるとの回答を得ただけでした。 「私がテストしたChromiumベースのブラウザの中で、このように動作するのは**Edge**だけです。対照的に、Chromeは、攻撃者が単にプロセスメモリを読むだけで保存されたパスワードを抽出することをはるかに困難にする設計を使用しています」とRønning氏は述べています。 ## 心変わり 当初はこの動作を擁護していたにもかかわらず、**Microsoft**は将来の**Edge**バージョンでは、起動時に保存されたパスワードをメモリに読み込まないことを発表しました。この決定は、報告されたシナリオが、敵対者がすでにデバイスの管理者権限を握っている攻撃を除外する**Microsoft**の既存の脅威モデルの範囲内にあるにもかかわらず下されました。 「この多層防御の変更は、**Edge**のすべてのサポートされているバージョン（Stable、Beta、Dev、Canary、およびエンタープライズ顧客が実行しているExtended Stableチャネル）に適用され、展開を優先しています」と、**Microsoft Edge**のセキュリティリードであるGareth Evans氏は[ブログ投稿](https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-werechanging-and-why/)で述べています。 「Secure Future Initiativeと顧客からのフィードバックへのコミットメントにより、私たちはより広い視野で見ています。これは、セキュリティ問題の基準を満たすかどうかだけでなく、多層防御の改善を通じて露出を減らすことができる場所も検討することを意味します。この場合、メモリ内のパスワードの露出を減らすことは、その方向への実用的な一歩です。」 ## 入手可能性 この修正は、**Edge** Canaryチャネルですでに利用可能になっており、すべてのサポートされている**Edge**リリース（ビルド148以降）の次のアップデートに含まれる予定です。 ## Edgeにおけるその他の最近のセキュリティ強化 昨年、**Microsoft**は、Webブラウザにサイドロードされた悪意のある拡張機能からユーザーを保護するための新しい**Edge**セキュリティ機能も導入し、ハッカーがChakra JavaScriptエンジンのゼロデイ脆弱性を悪用してターゲットデバイスにアクセスし始めた後、**Edge**のInternet Explorerモードへのアクセスを制限しました。 <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> ## 検証のギャップ：自動ペンテストは1つの質問に答える。あなたには6つ必要だ。 自動ペンテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを横断できるか？それらは、あなたのコントロールが脅威をブロックするか、あなたの検出ルールが発火するか、あなたのクラウド設定が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)