Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも

by CMDR Shane

Windows 10やWindows 8.1などでタッチスクリーン対応の端末を使っている場合、ストレージ内にある「WaitList.dat」というファイルに、PC内にあるすべてのドキュメントファイルやメールの内容が保存されている事例があることが報告されています。ただし、これは脆弱性ではなくWindowsの仕様だとのこと。

B2dfir: Touch Screen Lexicon Forensics (TextHarvester/WaitList.dat)
https://b2dfir.blogspot.com/2016/10/touch-screen-lexicon-forensics.html

オーストラリア在住のセキュリティ専門家であるバーナビー・スケッグス氏は2016年にこの「WaitList.dat」に関する調査を行いました。

ファイルの場所は

C:\ Users\%User％\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

で、スケッグス氏が確認した限り、Windows 10、およびWindows 8.1で、タッチスクリーンの手書き認識機能を利用しているPCに存在。タッチスクリーン端末でも、手書き認識機能を使っていない場合はファイルは存在せず、手書き認識機能をONにしてOneNoteを使用すると、すぐに生成されたとのこと。

WaitList.datの中身には、Microsoft Outlookで扱ったメールの「日付・時刻」「件名」「送信済みのフラグ」「ファイルタイプ(メール・ドキュメント・連絡先)」「To・CC・BCCを問わない受信者情報」「メールがカレンダー招待状だった場合はミーティング場所」「本文」、Windowsアドレス帳の「住所」「氏名」「件名」「連絡先情報(メールアドレス・電話番号・URL)」、PC内にあったドキュメントファイル(.doc/.docx/.pdf/xlsx/.txt)の「日付」「ドキュメントID」「ファイル本文」「会社情報」などが含まれていたそうです。

しかし、決して悪用を意図したものではなく、前述のように手書き認識機能と結び付いたものであり、また、「Microsoft Windows Search Indexer」のプロセスと関連付いたファイルであることから、PCでよく使われる単語を保存しておくことで手書き認識の精度を上げようとしたものであることがわかります。

ただ、Windows PowerShellを使うと、WaitList.datに保存されているパスワードを容易に抽出することが可能であるということをスケッグス氏は指摘。つまり、悪意ある攻撃者がパスワードを盗み出そうと考えたとき、PC全体からパスワードを探す必要はなく、WaitList.dat内を探せば手間が省ける状態になっているというわけです。

スケッグス氏に取材を行ったZDNetによると、これはあくまでWindowsが意図した機能の一部であり脆弱性ではないため、スケッグス氏はMicrosoftに対して調査内容を報告していないとのこと。もし、タッチスクリーン対応端末を使っていて、ふだん手書き認識機能を使っていないという人は、機能自体をオフにしていた方がいいようです。

This Windows file may be secretly hoarding your passwords and emails | ZDNet
https://www.zdnet.com/article/this-windows-file-may-be-secretly-hoarding-your-passwords-and-emails/