あなたのパスワードは、メモリの中で「裸」の状態です
Windowsの標準ブラウザとして多くの人が利用している「Microsoft Edge」。便利だと思って利用している「パスワード保存機能」が、実はセキュリティ上の大きな穴を抱えていることが明らかになりました。ノルウェーの研究者による告発は、私たちのデジタルライフの安全性を根底から揺るがすものです。
驚くべきことに、Edgeを起動したその瞬間、保存されているすべてのパスワードがプロセスメモリ上に「平文(テキスト形式)」で読み込まれてしまいます。しかも、その中には今開いているサイトだけでなく、数ヶ月間触っていないネット銀行やSNSのパスワードまで、すべてが含まれているのです。
タスクマネージャーだけで「刈り取れる」脆弱性
この問題の恐ろしさは、特別なハッキングツールを一切必要としない点にあります。Windowsの標準機能である「タスクマネージャー」さえあれば、誰でも(あるいは悪意あるプログラムでも)Edgeのプロセスを右クリックし、「メモリダンプ」を作成するだけで、そこに記録されたパスワードを抽出できてしまいます。
高度なプログラミング知識も、サーバーへの侵入も必要ありません。ただPCに触れるか、管理者権限を一時的に取得するだけで、宝の山が手に入ってしまうのです。研究者は「これは高度なハッキングですらない」と切り捨てています。
Microsoftの回答は、冷酷な3文字「仕様(by design)」
この衝撃的な事実について、報告を受けたMicrosoftが出した回答は、わずか3文字。「by design(仕様である)」というものでした。つまり、バグやミスでこうなっているのではなく、Microsoftはあえてこの設計を選んだと開き直ったのです。
Microsoftの立場は、「ローカル(PC本体)のセキュリティはOS(Windows)やディフェンダーの仕事であり、ブラウザ単体で守り切る必要はない」というものです。しかし、同じChromiumベースのブラウザであるGoogle Chromeは、2024年に「App-Bound Encryption」という機能を導入し、復号鍵を特定のプロセスに固定するなど、着実に防壁を強化しています。他のブラウザが対策を講じる中、Edgeだけが「仕様」として無防備な状態を続けているのです。
「セキュリティ劇場」:再認証という名の気休め
さらに皮肉なのは、Edgeのユーザーインターフェースです。設定画面から保存されたパスワードを表示しようとすると、Windows Helloによる再認証(顔認証や指紋、PIN)を求めてきます。一見、非常にセキュアに守られているように見えます。
しかし、その「裏側」であるメモリ上では、既にすべてのパスワードが平文で展開されているのです。表向きは鍵をかけているふりをして、実は裏口が全開。専門家はこれを「セキュリティ劇場(実効性のない、見せかけだけの対策)」と呼び、その異常性を強く批判しています。
共有PC環境では「収穫祭」が起きるリスクも
この設計は、不特定多数が利用する共有PCや、企業のターミナルサーバー、コールセンターなどの環境で特に深刻なリスクとなります。管理者の権限がひとつでも奪われれば、そのPCを利用している(あるいは過去に利用した)全ユーザーのパスワードが、メモリダンプひとつで一網打尽にされてしまう可能性があるからです。
攻撃者にとって、これほど効率的な「収穫祭」はありません。初期侵入に成功したハッカーが、次なるターゲットを広げるための踏み台として、Edgeのメモリを覗く。そんなシナリオが現実のものとなっています。
今、私たちができる唯一の防衛策
Microsoftが「仕様」と言い続ける限り、Edge側の修正は期待できません。私たちにできる最も確実な対策は、「ブラウザのパスワード保存機能を使わない」ことです。
Bitwardenや1Passwordといった、ブラウザとは独立した専用のパスワードマネージャーを利用しましょう。それらはマスターパスワードによってメモリ上でも厳重に保護されており、ブラウザのプロセスを覗かれただけで情報が漏れるようなことはありません。利便性と引き換えに、自分の全財産への鍵を玄関マットの下に置くような真似は、今すぐやめるべきです。
ネットの反応
セキュリティホールが標準実装ってマジかよ…。さっそくEdgeに保存してたパスワード全部消したわ。
「仕様」って言い切るのが一番怖い。ユーザーを守る気がないと言ってるのと同じだよね。
Chromeに乗り換える理由がまたひとつ増えたな。Googleの方がまだ真面目に対策してるのが皮肉だわ。
共有PCでこれ起きたらヤバいよね。市役所とか病院とか、Edgeを標準にしてる組織はすぐに対応した方がいい。
AIの所感
Microsoft Edgeのこの設計判断は、現代のサイバーセキュリティの常識から大きく逸脱しています。OSの保護を前提とする考え方は理論的には一貫していますが、現実にマルウェアや権限昇格の攻撃が絶えない以上、アプリ側でも多層的な防御を講じるのが「業界の標準」となっています。Google Chromeがその方向に進む中、Edgeだけが取り残されている現状は、ユーザーに対する不誠実と言わざるを得ません。セキュリティは「100点か0点か」ではなく、「攻撃のコストをいかに上げるか」の勝負です。その窓を広げたまま放置するMicrosoftの姿勢は、大きな信頼の損失に繋がるでしょう。