セキュリティ研究者のAlexander Hagenah氏は10月27日(米国時間)、「GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Tool to decrypt App-Bound encrypted keys in Chrome 127+, using the IElevator COM interface with path validation and encryption protections.」において、Google Chromeバージョン127にて導入された暗号化システム「アプリケーションバウンド暗号化(ABE: App-Bound Encryption)」の暗号鍵を復号するツールを公開した。
復号された鍵を取得したら、Cookieなど保護されたデータ(将来的にはパスワードや支払い情報が含まれる可能性がある)に不正アクセス可能とされる(参考:「Google ChromeがWindowsでデータ保護を強化、暗号化など導入 | TECH+(テックプラス)」)。
影響
Bleeping Computerによると、主要な情報窃取マルウェアはより高度な機能を組み込み済みだという。そのため、情報窃取マルウェアの感染時におけるリスクは、このツールの公開後も変わらないとみられている。
しかしながら、Googleはこの問題に対処できておらず、情報窃取マルウェアを用いずに機密情報を窃取できる手段が公開されたことはリスクになる可能性がある。
Googleはツール公開を受けて、Bleeping Computerに対して以下の声明を発表し、アプリケーションバウンド暗号化の有用性を主張した。
このコード(ツール)は管理者権限を必要とするため、この種の攻撃に必要なアクセスレベルを引き上げることには成功している。
ツールの利用に管理者権限を必要とすることは確かだが、最小権限の原則を実施する一般ユーザーは少数と推測され、十分な対策を継続的に実施している企業ユーザーのみが保護される状況になったと考えられる。また、Bleeping Computerはアプリケーションバウンド暗号化による保護が情報窃取マルウェアの活動に影響していないとしてGoogleの認識に懸念を示している。