[PR]猫

hot topic

2011年6月19日日曜日

Skype多重起動、自動ログイン時のコマンドライン(引数)によるパスワード漏えいの恐れについて

Skypeで複垢を取った後、多重起動させてしばらくたつけどふと思った事がある。その都度ログイン操作するの面倒じゃね?ってところ。

そしたら、本家のフォーラムもそうだけど外野のソースが出てくるわ出てくるわ…国内外問わず、水のように湧き出てきました。
(海外の一部地域では水のようにとは言いませんね、水が極めて貴重な国もありますから(笑)
方法は予想通り引数に
「/username:username」「/password:password」
を加えるだけでした。

本家のフォーラムではセキュリティ上の問題について一応触れて居ました。
しかし外野のソースではセキュリティ上の問題についての説明が極端に少ない事でした。
http://forum.skype.com/index.php?showtopic=213631&s=bed51b4e323f4ad12a63f367ad1aca8d

この数年、WebやMailを問わず情報の質が低下しているとは思いますが
これほどまでに、害が伴う程度とは考えてもいませんでした。

そこで、セキュリティ上どんな問題があって、
どのように対応したらよいかを提案したいと思いまとめてみました。m(_ _)m

すでに本家のフォーラムで言われているとおりなんですが、
「Note that this is intended only for secure environment, as any third party who 
 has access to your computer may see your password. 」

訳:keitec.jp
「これは安全な環境を意図としたものです。
 第三者があなたのコンピュータへアクセスした場合には
 パスワードが表示される可能性があります。」
と言う事です。…なんか分かりにくいですね。
実際にやってみようと思います。

[操作手順]
1.デスクトップにショートカットを作ります。
ここまではいつも通りの多重起動をする為の引数ですね。
"C:\Program Files (x86)\Skype\Phone\Skype.exe" /secondary

2.ユーザ名とパスワードの引数を加えてみましょう。
#個人的に思うのは、ショートカットを作る段階で気付いてほしいんですけど
#そうでなくても、少なくとも引数にパスワードを入力するときでもいいんで気付いてほしいです…
"C:\Program Files (x86)\Skype\Phone\Skype.exe" /secondary /username:******** /password:********

3.Windowsに他のユーザアカウントでログインする。
つまりは、家族や学校、職場であれば共有しているPCなどです。
ユーザアカウントとパスワードは個人個人で違うから大丈夫ということではありません。
また、少し応用し条件を整えればネットワーク越しにログインする事も出来る他、systemからも見えてしまいます。


[問題点]
Skype多重起動時、自動ログインユーザ名パスワード
平分で扱われている為、EFSを用いていない場合ローカル上では
容易にユーザ名とパスワードを搾取する事ができる。

結果としてSkypeのアカウントを乗っ取ることができ、
Skypeクレジット使われてしまったり
情報という点では、マイコンタクトのユーザに迷惑をかける可能性などがある。

また、Skypeのユーザ名パスワードが他のサービスと同一である場合には
そのサービスまで乗っ取られてしまう可能性があります。

パスワード管理が徹底していない、Skypeの多重起動、自動ログインをしているユーザさん、
または、Skypeの多重起動自動ログインを何の対策もせず実施しようとしているユーザさん、
大丈夫ですか?

[対応策]
暫定的な対応策としては物理的にハードドライブが持って行かれたり
他のOSから参照され場合には効果はありませんが、EFSを使うことで
同OS配下のユーザ間やシステムからの参照を回避することができます。

方法は至って簡単3ステップだけ
1.ユーザ名とパスワードを含むショートカット右クリック>プロパティ(R)>詳細設定(D)
2.内容を暗号化してデータをセキュリティで保護する(E)のチェックをON
3.OK>適用(A)>OK

ただし、本人のユーザアカウントが意図しないタスク(batやexeなど)によって
漏えいする恐れがありますので完璧ではありません。注意してください。
また、EFSも十分とは言えません。これも注意が必要です。

制限なくEFSを使えるのは、Windows7の場合、ProfessionalとUltimate、Enterpriseです。
「Windows 機能の比較」
http://windows.microsoft.com/ja-JP/windows7/products/compare?T1=tab15
「暗号化ファイル システム (EFS) とは」
http://windows.microsoft.com/ja-JP/windows7/What-is-Encrypting-File-System-EFS
EFSで暗号化されたファイルを復号するには?またはWindowsのパスワードをクラック(リカバリー)する方法
http://d.hatena.ne.jp/ukky3/20080301/1204340431
暗号化ファイルシステム (EFS: Encrypting File System) の注意点
http://07.net/EFS/

2 件のコメント:

  1. このブログは活動されてるのでしょうか?

    バージョン7.17のSkypeでは/username:と/password:のコマンドラインオプションが無効化されたようです。
    http://community.skype.com/t5/Windows-desktop-client/Secondary-Skype-stopped-working/m-p/4221641#M389795

    正確には、バージョン7.16で無効化され、7.17でもそのままといった感じのようです。
    7.15では使えているようなので、もしダウングレードしたければ、コマンドラインが生きている最終バージョンである7.15をお勧めします。

    MSに運営・開発が移管してからというもの改悪に次ぐ改悪で使い勝手は悪化の一途ですね。どうしてこうなった。

    返信削除
    返信
    1. > このブログは活動されてるのでしょうか?
       コメントがあった場合のレスと新規エントリ、
      既存エントリの加筆を必須条件とするのなら、
      活動はしていないことになります。
       しかし、コメントをする際の認証機能など、
      あえて実装していないので、コメントの有無と
      SPAM判定の対応は継続して続けています。

      > 正確には、バージョン7.16で無効化され、7.17でもそのままといった感じのようです。
      > 7.15では使えているようなので、もしダウングレードしたければ、コマンドラインが生きている最終バージョンである7.15をお勧めします。
       正確な情報のコメント有難う御座います。

      > MSに運営・開発が移管してからというもの改悪に次ぐ改悪で使い勝手は悪化の一途ですね。どうしてこうなった。
       国内外問わずM$が迷走している感が否めない中、
      Skypeはもっとオープンな発想の出来るところで
      運営、開発を行ってほしいですね。

      削除