Windows 10のスタート画面でお馴染みのパスワード管理ツール「Keeper」に深刻な脆弱性

「Keeper」の公式ブログ

　パスワード管理ツール「Keeper」に深刻な脆弱性が存在することが14日（米国時間）、GoogleのTavis Ormandy氏によって明らかにされた。同氏は、過去に「Windows Defender」や「LastPass」の問題を指摘したことでも知られる著名なセキュリティリサーチャー。氏によると、「Keeper」には偽のユーザーインターフェイスを注入して管理者権限を奪取できる欠陥があり、パスワードを盗むことができてしまうという。

　「Keeper」は、パスワードをはじめとする機密データの保管を行うアプリ。初期状態でWindows 10の［スタート］画面に登録されていることがあるため、目にしたことがあるユーザーも少なくないだろう。

　「Keeper」の開発元は、12月8日にリリースされたWebブラウザー向け拡張機能v11.3に指摘の欠陥があることを認め、問題となっている機能を削除した修正版v11.4.4を15日にリリースした。問題の発覚から24時間以内に対策を完了することでセキュリティを重視する姿勢をアピールした格好だが、本アプリは2016年にも同様の不具合を指摘されたことがあり、開発過程と品質管理に疑念を抱かせる結果となった。

　なお、デスクトップアプリとモバイルアプリには影響がないとのこと。そのため、［スタート］画面の「Keeper」アイコンからデスクトップアプリをインストールしてしまったとしても、インストールする際に拡張機能のセットアップに同意しない限り、脆弱性の影響を受けることはない。拡張機能をセットアップした場合は影響を受けるが、「Google Chrome」および「Firefox」向けの拡張機能は自動更新機能により自動でv11.4.4へアップデートされるため問題はないだろう。

　ただし、「Safari」向けの拡張機能は手動でアップデートする必要がある。現在のところ、本脆弱性を悪用した攻撃は確認されていないとのことだが、Macの「Safari」で「Keeper」を利用している場合は注意が必要だ。

I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability.https://t.co/dbkznucgLm

— Tavis Ormandy (@taviso)2017年12月15日