Windowsマシンでリモートデスクトップ接続(RDP)を使用する際、MicrosoftやAzureアカウントのパスワードを変更しても古いパスワードが有効なまま残る問題が明らかとなった。これはローカルにキャッシュされた認証情報が原因で、パスワード更新後もオンライン認証を行わずログインが可能となる。

セキュリティ専門家のWade氏は、これが永続的なバックドアとなり得ると指摘し、AnalygenceのDormann氏も「システム管理者の期待を裏切る仕様」と強調する。クラウド認証や多要素認証を回避できる危険性があり、アカウント侵害後の被害拡大リスクが懸念される。

Windows RDPのパスワード無効化が機能しない仕組みの詳細

Windowsのリモートデスクトップ接続(RDP)において、MicrosoftやAzureアカウントのパスワード変更後も古いパスワードが有効なまま残る問題は、ローカル認証情報キャッシュが原因とされる。この仕組みでは、ユーザーがオンラインアカウントで一度サインインすると、その認証情報が暗号化されてローカルマシンに保存され、以降のRDPログインは保存された情報と入力パスワードの照合のみで認証が完了する。

セキュリティ研究者のWade氏は、この仕様によりオンライン認証、多要素認証、条件付きアクセスといったセキュリティ層が事実上バイパスされると警告する。Analygenceの脆弱性アナリスト、Will Dormann氏も「パスワード変更後に古い認証情報が無効化されないのは理解しがたい」と批判している。

RDPは企業や個人のテレワーク環境で広く使われるが、こうした仕様が攻撃者にとって潜在的な抜け道となる。特に侵害後のアカウントにおいて、被害者がパスワード変更で対処したと考えていても、実際には完全な遮断とはならない点が重大なリスクとなる。

キャッシュ仕様がもたらすリスクとセキュリティ専門家の指摘

ローカルキャッシュされた認証情報は一見便利な機能に思えるが、実際には深刻なセキュリティリスクを生む。MicrosoftやAzureアカウントが攻撃者によって侵害されても、パスワード変更だけではRDP経由のアクセスを完全に封じることはできない。このため、認証情報のキャッシュは“静かなリモートバックドア”を作り出すとWade氏は指摘する。

Dormann氏は「管理者がパスワード変更後に古い認証情報が残存するとは想定しない」と述べ、この仕様が一般の期待と食い違っている点を強調する。問題は、RDP利用時の認証がオンライン確認ではなくローカル検証に依存することにあり、これが攻撃者の温床となる可能性がある。

この問題は、RDPの運用管理においてパスワード変更時の追加措置やキャッシュのクリアを前提としなければ、パスワード変更による防御が機能しないことを意味している。

利便性の裏に潜む課題と今後の課題の展望

パスワードのキャッシュはオフライン環境や通信障害時にも認証を可能にする利便性のために存在してきた。しかし、現在のセキュリティ環境では、この仕組みが不正アクセスの温床となりかねない。クラウド認証や多要素認証の導入が進む一方で、ローカルの認証仕様が見直されないことでギャップが生じ、これが攻撃の起点となるリスクが高まる。

今後は、Windows側でパスワード変更後のキャッシュクリアを標準化する、もしくは管理者が容易に一括無効化できる仕組みが求められるだろう。また、ユーザー自身がRDP設定やキャッシュ管理の重要性を理解し、必要な場合にはローカル対策を講じる必要性も増すと考えられる。

利便性と安全性のバランスをどう取るかは、今後のWindowsおよびRDPの進化において避けて通れない課題となりそうだ。

Source:Ars Technica