MoTWフラグの回避

MoTWはMark of the Webです。
Windowsに搭載されている安全機構を構成する要素の一つです。
MoTWは本来どのように機能するのでしょう。
Windowsのセキュリティ機能は、インターネットから発信されたファイルにフラグを付けます。
このフラグを使って何通りかの安全機構を提供します。

• 警告ダイアログ機能
  このフラグが付けられたファイルを開こうとするとWindowsは警告ダイアログを表示し、その操作を継続するのかについての判断を迫ります。
  「コンピュータに損害を与える可能性があります。ソースが信頼できない場合は、このソフトウェアを開かないでください。」という調子です。

   

• マクロ無効化機能
  このフラグが付けられたファイルをマクロ機能を持ったアプリケーションで開いた場合に、マクロ機能が無効化された状態になります。
  そしてアプリケーションウィンドウのどこかに「保護ビューになっています。注意してください。編集を有効にする場合にはボタンを押してください。」などと表示されます。

MoTWフラグはこういった安全機構の動作の前提となっています。
今回の11月のパッチ群の中にこの機能に関連した修正が含まれていました。
この問題が修正されていない状態の場合、ある条件を満たしていると、このMoTWフラグが意図動作しないというものでした。
問題はCVE-2022-41091として追跡されています。

これらの安全化機能、みなさん何度も見たことがあるのではないでしょうか。
これらの機能について毎回どのくらい慎重に判断しているかというと怪しい部分もあるかもしれませんが、こういった機能があるという一定の安心感があるように思います。
そしてこれらの安全化機能があることがいつしか前提となってしまって、ある程度あまり考えることなくなにかのファイルを開いてしまうようなことになっていないでしょうか。
「怪しいファイルなら開くときに警告ダイアログがでるだろうからとりあえずダブルクリックしておくか。」といったようなことになってしまっていませんか？

安全化機構は安全性を高めることができます。
安全化機構にはいろいろな種類がありますし、いろいろな効能があります。
しかし安全化機構は万能ではありません。
安全化機構が機能できない条件というものがあるかもしれませんし、この例のようにバグで安全化機構が意図通りに利用できないなんていうこともあるでしょう。
安全化機構があるから大丈夫、とはなりそうになりません。
適切な運用でタイムリーにセキュリティ更新を適用すること、そして、いつも入手元を意識した行動をとること、こういった基本的なことが重要だと感じます。

参考記事（外部リンク）：Windows Mark of the Web Security Feature Bypass
Vulnerability
msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41091