Microsoft Edgeがパスワードを起動時に平文でメモリ展開──セキュリティ研究者が指摘、Microsoftは「設計通り」と回答

Tom’s Guideが5月5日に報じたところによると、Microsoft Edgeブラウザが保存済みパスワードをプロセスメモリ上に平文（クリアテキスト）で展開し続けているという問題を、ノルウェーのサイバーセキュリティ研究者 Tom Jøran Sønstebyseter Rønning 氏がX（旧Twitter）上のスレッドで公開し、注目を集めている。

なぜこの問題が注目されるのか

Rønning氏の調査によれば、Microsoft Edgeはブラウザ起動時に「すべての認証情報を復号し、プロセスメモリに展開する」という動作をとる。特に問題視されているのは、そのセッションで一度も訪問していないサイトのパスワードまでも平文でメモリに置かれ続ける点だ。

同氏はX上で「私がテストしたChromiumベースのブラウザの中で、このような動作をするのはEdgeだけだ」と述べており（PC Gamerが引用報告）、ChromeやBraveなど他のChromiumブラウザとは異なる実装であることを明示している。

海外レビューのポイント

攻撃に必要な条件

Tom’s Guideの報告によれば、この問題を悪用するにはあらかじめターミナルサーバーへの管理者権限アクセスが必要であり、誰でも手軽に悪用できる性質のものではない。

しかし問題の核心はその先にある。管理者権限を持つ攻撃者が、同じサーバーにログイン中の別ユーザーのプロセスメモリにアクセスし、そのユーザーのすべてのパスワードを平文で取得できる可能性があるという点だ。シェアドサーバー環境（RDSやVDI環境など）では「一人のアカウントが侵害されれば同一サーバー上の全ユーザーの認証情報が危険にさらされる」シナリオが現実的に成立する。

Microsoftの公式見解

Tom’s Guideに対してMicrosoftのスポークスパーソンは以下のコメントを発表した。

「報告されたシナリオに基づくブラウザデータへのアクセスには、デバイスがすでに侵害されていることが前提となる」 Rønning氏がMicrosoftへの脆弱性開示を行った際の回答も「設計通り（by design）」であり、Microsoft Security Response Center（MSRC）は2025年9月に別ユーザーから受けた報告に対しても「脆弱性ではなく、セキュリティ境界も侵害していない」と判断していたことが、スクリーンショット付きでXユーザーにより公開されている。

Microsoftは「パフォーマンス、使いやすさ、セキュリティのバランスを取るための設計判断であり、進化する脅威に照らして継続的に見直しを行っている」と説明している。

専用パスワードマネージャーとの比較

1PasswordやBitwardenなどの専用パスワードマネージャーは、使用のたびにマスターパスワードや2要素認証を要求するため、管理者権限を持つ攻撃者に対しても平文パスワードへのアクセスを防ぐ設計になっている。Tom’s Guideは今回の報告を受け、Edgeを含むブラウザへのパスワード保存を避け、専用パスワードマネージャーへの移行を強く推奨している。

日本市場での注目点

日本ではMicrosoft 365の普及に伴い、企業環境でEdgeがデフォルトブラウザとして広く展開されている。特にAzure Virtual Desktop（AVD）やWindows 365 Cloud PCを利用している企業では、複数ユーザーが同一セッションホストを共有するケースがある。

このような環境では、今回指摘された「管理者権限を持つ別ユーザーによるパスワード取得」のリスクが理論上成立し得る。社内セキュリティポリシーでブラウザへのパスワード保存を禁止し、専用パスワードマネージャーを強制することが有効な対策となる。

個人ユーザーも、Edgeのパスワードマネージャーを日常的に使用している場合は、今回の報告を機に移行を検討する価値がある。なお現時点で日本語の公式対応アナウンスは出ていないため、Microsoft公式ブログの動向を引き続き注視したい。

筆者の見解

今回の件で気になるのは、Microsoftが「設計通り」と繰り返している点だ。パフォーマンスと利便性を優先してパスワードをメモリに展開する設計判断の意図は理解できる。しかし同じChromiumベースでもChromeが採用していない実装をEdgeだけが採用しているという事実は、Microsoftが自ら説明責任を果たす必要があると感じる。

Edgeはここ数年でセキュリティ機能を着実に強化してきた。Microsoft Defender SmartScreenや強化型トラッキング防止など、保護機能の面では評価できる点も多い。だからこそ、「パスワードを平文でメモリに展開し続ける」という実装が注目を浴びたとき、「そこだけもったいない」と言いたくなる。

RDSやVDIで多数の企業ユーザーを抱えるMicrosoftのブラウザが、マルチユーザー環境での認証情報の扱いについてより厳格な設計を採用していないというのは、真剣に見直す価値のある課題だ。SRCが「脆弱性でない」と判断した2025年9月以降も状況が変わっていないとすれば、内部での優先度評価を改めて問い直す時期に来ているのではないだろうか。Edgeには本来、そこを正面から解決できる技術力があるはずだ。

出典: この記事は ‘Only Chromium-based browser I’ve tested that behaves this way’: Microsoft Edge has a huge password vulnerability researcher claims の内容をもとに、筆者の見解を加えて独自に執筆したものです。