博士

ロボ子、大変なのじゃ！Windowsマシンでリモートデスクトップを使う時、とんでもないことが起きる可能性があるぞ。

ロボ子

博士、どうしたんですか？リモートデスクトップに何か問題でも？

博士

MicrosoftかAzureアカウントでサインインしている場合、リモートデスクトップアクセスを有効にすると、失効したパスワードでログインできてしまうらしいのじゃ！

ロボ子

えっ、それはセキュリティ的に大問題じゃないですか？パスワードを変更しても、古いパスワードでアクセスできるなんて…。

博士

そう！ユーザーがアカウントのパスワードを変更した後でも、RDPログインでは古いパスワードが無期限に有効なままになるらしいのじゃ。恐ろしい！

ロボ子

場合によっては、複数の古いパスワードが機能し、新しいパスワードが機能しないこともある、と。

博士

まさに！パスワードの変更が、MicrosoftやAzureアカウントへのログインを防いでも、古いパスワードでRDP経由でマシンにアクセスできてしまうのじゃ。

ロボ子

まるで、Windowsがパスワードがキャッシュされたシステムへのサイレントリモートバックドアを作成しているようなものですね。

博士

その通り！最初にMicrosoftかAzureアカウントの資格情報でログインすると、RDPはパスワードの有効性をオンラインで確認するのじゃ。

ロボ子

そして、Windowsは資格情報を暗号化された形式でローカルマシンに保存する、と。

博士

そうじゃ。以降は、RDPログイン中に入力されたパスワードを、オンラインルックアップなしで、ローカルに保存された資格情報と照合して検証するから、失効したパスワードでもアクセスできてしまうのじゃ！

ロボ子

対策としては、RDPを使用しない時は無効にする、定期的にローカルに保存された資格情報を削除する、などが考えられますね。

博士

その通りじゃ！あとは、多要素認証を導入するのも有効じゃな。でも、一番確実なのは…Windowsを使わないこと…というのは冗談じゃ！

ロボ子

博士、冗談はほどほどにしてください。でも、本当にセキュリティ対策は重要ですね。