「Windows 11 2022 Update」、パスワード関連のセキュリティが強化

今回は「「Windows 11 2022 Update」、パスワード関連のセキュリティが強化」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftが新たにリリースした「Windows 11」のアップデート「Windows 11 2022 Update」（Windows 11 22H2）では、「Enhanced Phishing Protection」（強化されたフィッシング保護）機能が導入されており、ユーザーが安全ではないアプリやウェブサイトにパスワードを入力したことを自動的に検出し、「Microsoft Defender for Endpoint」を介して管理者にその旨を通知するようになっている。

　この機能は同社の「SmartScreen」テクノロジーに基づいており、Windows 11 22H2のコンシューマーと法人双方のユーザーを対象としている。

　ユーザーが信頼できないウェブサイトやアプリに認証情報を入力すると、「Windows」はユーザーにその旨を警告するとともに、管理者に対して該当パスワードが使用された日時と場所の記録を報告する。

　MicrosoftのSinclaire Hamilton氏は、「Windows 11が何らかのフィッシング攻撃を防御すると、同じ攻撃を受けているその他のアプリやウェブサイトとやり取りしている他のWindowsユーザーを保護するために、その脅威インテリジェンス情報が共有されるようになる」と同社ブログで説明している。

　SmartScreenは、コンシューマー向けの「Microsoftアカウント」とともに、「Active Directory」や「Azure Active Directory」、ローカルパスワードによって管理されているアカウントでも機能する。

　同機能は、ユーザーに対してパスワードの変更が必要である旨を即座に知らせるとともに、安全でないかたちでパスワードが使用されたことをMicrosoft Defender for Endpointのポータルを通じて自動的にIT部門に報告するようになっている。

　フィッシングは、アプリやウェブサイト、ドメインへのログインにパスワードが用いられている限り存続する問題だ。Hamilton氏も「攻撃者は押し入ってくる（break in）のではなく、ログインしてくるのだ」と記している。

　Bill Gates氏は、将来的にパスワードの利用が減少していくだろうという予想を2004年に述べていたが、それは誤りだった。それどころかパスワードの利用は、新たなオンラインサービスを使うたびに増えている。現在、MicrosoftやApple、Googleなどは「OAuth」と「FIDO2」という規格をサポートし、パスワードレス化と二要素認証への道を切り開こうとしている。MicrosoftはWindows 11 22H2において、「Smart App Control（スマートアプリコントロール）」の許可リストといった、防御に役立つセキュリティ関連機能のデフォルト化に注力している。また同社は、Windows 11のSMBサーバーにおけるレートリミッターという、パスワード攻撃の速度を大幅に引き下げる対策のデフォルト化に向けたテストを実施している。

　Hamilton氏は「SmartScreenは、フィッシングサイトや、フィッシングサイトに接続するアプリに対するパスワードの入力のほか、あらゆるアプリやウェブサイトにおけるパスワードの再利用、そして『メモ帳』や『ワードパッド』『Microsoft 365』アプリへのパスワード入力を検出して保護するようになっている」と記している。