Microsoft Recallに再び脆弱性——暗号化データの全抽出が可能と研究者が報告

Microsoft Recallに再び脆弱性——暗号化データの全抽出が可能と研究者が報告

Microsoftが開発したAI機能「Recall（リコール）」に、またしても深刻なセキュリティ上の問題が発覚した。セキュリティ研究者が、Recallが保存する暗号化済みデータの格納場所を特定し、その全内容を抽出できることを実証したと報告している。

Recallとは何か

Recallは、Windows 11搭載のCopilot+ PC向けに導入されたAI機能で、ユーザーの画面を定期的にスクリーンショットとして記録し、AIが内容を解析・インデックス化することで「過去に見た情報を検索できる」というコンセプトで設計されている。Microsoftは当初、このデータはローカルに保存され暗号化によって保護されると説明していた。

今回の脆弱性の概要

研究者が発見したのは、暗号化されたデータの保存先パスを特定する手法だ。適切な権限さえ得られれば、そのデータベース内に蓄積されたスクリーンショットや解析済みテキスト情報を一括で抽出できるという。これはつまり、パスワード、クレジットカード番号、メッセージの内容など、画面に表示されたあらゆる機密情報が攻撃者の手に渡る可能性を示している。

繰り返されるプライバシー問題

Recallがプライバシーおよびセキュリティ上の問題を指摘されるのはこれが2度目となる。Microsoftは2024年にRecallの正式リリースを発表した直後、セキュリティコミュニティから強い批判を受け、リリースを延期した経緯がある。その際も、スクリーンショットデータの扱いやローカルDBへのアクセス制御の甘さが問題視されていた。

今回の報告はその懸念が完全には払拭されていないことを示しており、「暗号化されている」という説明だけではユーザーのデータを守るには不十分であることが改めて浮き彫りになった。

日本のユーザーへの影響

国内でもCopilot+ PC対応のSnapdragon X搭載機やIntel Core Ultra搭載機が販売されており、Recallが有効化された環境を使用しているユーザーは注意が必要だ。現時点では、Recallの使用を無効化することが最も確実な対策となる。設定は「プライバシーとセキュリティ」→「Recall & スナップショット」から変更できる。

Microsoftはこの報告に対する公式見解をまだ発表していない。同社の対応と、今後のアップデートによる修正に注目が集まっている。

元記事: Microsoft Recall Again Spills Secrets - GovInfoSecurity