デジタルフォレンジックおよびインシデント対応の専門家であるバーナビー・スケッグス氏によると、Windows 8.1およびWindows 10オペレーティングシステムには、「WaitList.dat」と呼ばれるファイルが存在し、多くのユーザーが気付かないような方法で、メールのテキストやパスワードなどの機密情報を収集する可能性があります。このファイルは、オペレーティングシステム上で処理されたWord文書やメールなどのプレーンテキストファイルのデータを記録します。この問題は主にタッチ対応デバイスの所有者に影響します。
スケッグスの調査結果
スケッグス氏は、あるメールがWindows 8.1にサイレントモードで保存されているかどうかを調べようとした調査中に、確かな結果は得られませんでした。しかし、フォレンジックイメージ全体でそのメールの件名を検索したところ、一つの結果が見つかりました。それは、メールがWaitList.datファイルにコピーされていたというものでした。このファイルはC:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.datにあります。
スケッグスは探していたメールだけでなく、3年間にわたる3万6000通以上のメールと文書のメタデータと本文全文も発見した。ファイル全体のサイズはわずか140MBだった。
WaitList.Dat に機密データが静かに保存される
WaitList.datファイルは、Windows 8.1以降で手書き認識機能を有効にするとアクティブになります。Microsoftは、手書き認識技術の向上を目的として、このファイルを使用してすべてのドキュメントからテキストを収集しているようです。問題は、他のドキュメントの手書きテキストだけでなく、入力されたテキストも収集してしまうことです。
パソコン上の文書にパスワードを書き込む人もいます(セキュリティ専門家は推奨していません)。こうした文書を削除する頃には、パスワードはすでにWaitList.datファイルに保存されているはずです。攻撃者が文書を削除する前にパスワードを抽出できなかったとしても、後からWaitList.datファイルから抽出することは可能です。
さらに、スケッグスの調査結果によると、攻撃者は通常、ユーザーのPC上で削除されたメールのコピーをWaitListファイル以外で見つけることはできないはずです。つまり、MicrosoftはすべてのメールをWaitListファイルにコピーすることで、ユーザーを不必要なリスクにさらしていることになります。
手書き認識を無効にしたい場合は、Windowsで「サービス」を検索し、「タッチキーボードと手書きパネルサービス」に移動して右クリックします。有効になっている場合は、メニューに「停止」オプションが表示されます。無効になっている場合は、「開始」オプションが表示されます。これは、機能が既に無効になっていることを意味します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
