「パスワードマネージャ入りのWindows10、脆弱性入りのパスワードマネージャ」

www.bleepingcomputer.com

Windows 10を使っている人なら知っていると思いますが、標準設定の場合、このOSは勝手にアプリをインストールしてきます。しかもアンインストールしてもいつの間にか入っていたりします。半分以上はゲームだと思うのですが、職場のPCにゲームが勝手に入ってきたら問題ですね（ドメイン管理してWSUSなどを運用してたら入らないのでは、と言われそうですが、中小企業ではそこまで手が回らないところも多いでしょう）。

そんな形で勝手に入ってくるアプリたち。その1つがパスワードマネージャのKeeperでした。GoogleのProject ZeroメンバーであるTavis Ormandy氏は、勝手に入ってくるこのアプリを調査、脆弱性を発見しました。任意のサイトが任意のデータを読み出すことが可能という重篤なものです。ちなみにこの問題、Ormandy氏が16ヶ月近く前に指摘したものの、今回改めて見たらまだ使えたそうです。

騒ぎはあっという間に大きくなり、Keeper側は脆弱性を修正しました。

なお、Windows 10が勝手にアプリを入れてくる挙動が気に入らない人は、「ストア」の設定から「アプリを自動的に更新する」を解除するか、レジストリHKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManagerを0(DWORD)にすればいいようです。

※ストアから入れるアプリを使っていて、自動更新を切った場合、定期的に手動で更新してくださいね。特に「メール」などネットを使うアプリは、脆弱性の修正も含みますので。

下のリンクには、このレジストリ設定を行うためのregedit用ファイルの中身があります。

github.com