
5月、Microsoftは、新規アカウント設定においてパスキーやWindows Helloなどの代替手段をデフォルトで利用できるようにするなど、パスワードレスの未来に向けた大きな転換を開始しました。これは、ユーザーアクセスを簡素化しながらセキュリティを強化することを目指す、より広範なトレンドの一環です。
しかし、ラスベガスで開催されたBlack Hatカンファレンスで発表されたドイツの研究者ティルマン・オスワルド氏とバティスト・ダヴィッド博士による最近の研究結果では、Windows Helloのビジネス版に脆弱性が明らかになりました。彼らのデモンストレーションでは、システムの生体認証セキュリティを侵害する方法が示されました。
イベント中、デイビッド博士は顔認証を用いてデバイスへのログインに成功しましたが、ローカル管理者権限を持つ攻撃者を装ったオズワルドは一連のコマンドを悪用しました。彼は別のコンピュータで取得した顔スキャンデータを標的システムの生体認証データベースに挿入しました。驚くべきことに、攻撃者がデバイスに近づき、デイビッド博士だと認識すると、デバイスはためらうことなくロック解除されました。
脆弱性を理解する
問題の核心は、Windows Hello のビジネスフレームワークの内部構造にあります。システムを初期セットアップすると、公開鍵と秘密鍵のペアが生成され、公開鍵は Entra ID などの組織の ID プロバイダーを通じて登録されます。生体認証データは Windows Biometric Service (WBS) によって管理される暗号化データベースに保存されますが、現在の暗号化方法では、ローカル管理者権限を持つ攻撃者を阻止できず、重要なデータを復号化できてしまう場合があります。
強化されたサインインセキュリティのソリューション
これらの脆弱性に対処するため、MicrosoftはEnhanced Sign-in Security(ESS)を導入しました。この機能は、生体認証プロセスをシステムのハイパーバイザーによって管理される安全な環境内で効果的に分離します。ただし、ESSの実装には、ハードウェア仮想化をサポートする最新の64ビットCPU、TPM 2.0チップ、ファームウェアのセキュアブート、そして適切に認証された生体認証センサーといった特定のハードウェアが必要です。
ESSはこの攻撃をブロックするのに非常に効果的ですが、誰もが使えるわけではありません。例えば、私たちは約1年半前にThinkPadを購入しましたが、残念ながらIntelではなくAMDのチップを使用しているため、カメラ用のセキュアセンサーが搭載されていません。
今後の課題
ESSの有効性にもかかわらず、ESS非対応システムにおける既存の脆弱性に対する包括的なパッチ適用は大きな課題です。Osswald氏とDavid氏によると、根本的なアーキテクチャ上の問題を修正するには、完全な再設計は不可能です。そのため、ESS非対応のWindows Helloを使用している企業は、生体認証を完全に無効化し、PINなどの代替手段を導入することを検討する必要があります。
ESSの互換性を確認する方法
お使いのシステムがESSに対応しているかどうかを確認するには、設定に移動し、アカウントの「サインインオプション」を確認してください。「外付けカメラまたは指紋リーダーでサインイン」というトグルスイッチを探してください。このスイッチがオフになっている場合、ESSが有効になっており、USB指紋リーダーはログインに使用できません。このスイッチをオンにするとESS機能が無効になり、外付けデバイスが使用できるようになりますが、セキュリティが低下するリスクがあります。

Microsoftによると、Windows Helloと互換性のある一部の周辺機器はESSを有効にする可能性があります。この機能は本質的にセキュリティ上の問題を引き起こすものではありませんが、デバイスの使用を複雑化させます。Microsoftは、互換性のある周辺機器を常に接続しておくことを推奨しています。ESSに基づく外部デバイスの完全なサポートは、2025年後半まで開始されない見込みです。
コメントを残す