Windows10の独自のテーマでデスクトップをカスタマイズすることができるカスタムテーマ。
ログイン画面やタスクバーなど自分好みにカスタマイズできるということで、使っている人も多いかと思います。
ところが、このカスタムテーマを悪用してユーザーの認証情報を盗むことができる可能性があるようです。
Windows10のカスタムテーマの危険性
サイバーセキュリティの研究者であるJimmy Bayneによって発見された。
彼のツイートが以下、(4分割されてます)
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
ツイートの内容を簡単に説明すると、
Windowsの.themeファイル(カスタムテーマ)がインストールされると偽のログインページを表示し、Microsoftアカウント名とパスワードを入力させて情報を盗むという手口です。
基本的にWindows10のテーマは、インストールした後でユーザーがサインインする必要があるので必ずしも一般ユーザー全般に危険があるわけではないです。
パスワードそのものを盗むものではない?
どうやら、「Pass the Hash」という攻撃方法のようで、パスワードを盗むのではなくパスワードハッシュ(パスワードをハッシュ化したもの)を盗むようです。
ちなみに、Jimmy Bayneさん、Microsoftにリスクを警告したそうですが、
資格情報の受け渡しは意図的に設けられた機能であるため、テーマ機能を変更するつもりはない
と返答されたそうです。
ログイン情報を守るにはどうすればいいのか
Microsoftが公式に措置しないとなれば、ユーザー側で安全策を考えねばなりません。
Bayneさんと共に、Windows 10の企業バージョンのオプションについて概説していますが、一般ユーザーには該当しないことばかり・・・
なのでカスタムテーマを使わないというのが今のところベストな対策になります。
カスタムテーマを使いたい人
それでもカスタムテーマを使いたいという人は、Windows Storeなどの安全なソースからに限って公式テーマをダウンロードすることをオススメします。
他にも、Microsoftアカウントからサードパーティアカウントのリンクを解除し、Microsoftアカウントではなくローカルユーザーアカウントを使用してPCにサインインするなど対策することがいいでしょう。
