Microsoftは、ブラウザ「Microsoft Edge」が内部メモリ上にパスワードを平文(暗号化されていない状態)で保持していた問題を公式に認め、修正を最優先課題として対応中であることを発表した。

メモリ上の平文パスワードとはどういう問題か

「平文でメモリに保存」とは、Edgeのプロセスが動作中にパスワードを暗号化せずRAM上に展開していた状態を指す。通常、認証情報はメモリ上でも暗号化された状態で扱うのがセキュリティのベストプラクティスであり、使用後は即座にメモリをゼロクリアすることが推奨されている。

この状態が続くと、以下のような攻撃シナリオが現実的なリスクになる。

  • メモリダンプ攻撃: ローカル管理者権限や特権プロセスからEdgeのメモリダンプを取得することで、保存済みパスワードが丸ごと読み取れる
  • 悪意あるソフトウェアによる窃取: マルウェアがEDRをすり抜けてプロセスメモリを直接スキャンした場合に認証情報が流出するリスクがある
  • クラッシュダンプへの混入: アプリケーションがクラッシュした際に生成されるダンプファイルにパスワードが含まれ、ダンプを回収できた攻撃者に悪用される可能性がある

実際のところ、この問題は以前からセキュリティ研究者の間で指摘されていた。Microsoftが正式に認め、優先修正として動いた意義は決して小さくない。

修正の方向性と技術的対処

Microsoftは具体的な実装手法を公開していないが、一般的な対処としては以下が考えられる。

  • Windows Data Protection API(DPAPI)によるメモリ上の暗号化: WindowsがネイティブにサポートするAPIで、ユーザーコンテキストに紐付いた鍵でメモリ上のデータを保護できる
  • 使用後の即時ゼロクリア: パスワード入力や自動入力後にメモリ領域を即座にクリアし、平文データが残存しないようにする
  • SecureString相当の管理: .NETではSecureStringという仕組みがあり、同様のアプローチをEdgeのC++実装に取り込む選択肢もある

修正版はEdgeの通常アップデートサイクルで配信される見込みだ。

実務への影響 — エンタープライズ担当者が今すぐやること

アップデート管理の見直し

EdgeはMicrosoft Updateを通じて自動更新されるが、グループポリシーや Intune でバージョンを固定している環境では手動対応が必要になる。修正バージョンがリリースされた後、以下を確認すること。

  • Intuneのデバイスコンプライアンスポリシー: 最低限必要なEdgeバージョンを条件付きアクセスのコンプライアンス要件に組み込む
  • 古いEdgeバージョンの棚卸し: MicrosoftEdge/Update/ レジストリや Intune レポートで組織内のバージョン分布を把握する
  • ASR(Attack Surface Reduction)ルールの活用: Microsoft Defender for Endpointの Block credential stealing from the Windows local security authority subsystem などのルールを有効化し、メモリベースの資格情報窃取を多層防御する

Edgeパスワードマネージャーの利用状況を把握せよ

今回の問題はEdge組み込みのパスワードマネージャーを使っているユーザーに直接影響する。エンタープライズ環境では「なんとなくEdgeにパスワードを保存している」社員が相当数いるはずで、IT部門がそれを把握できていないケースも多い。

今回を機に、組織内のパスワード管理ポリシーを見直す絶好の機会だ。業務用パスワードは管理者が制御できるエンタープライズ向けパスワードマネージャーに集約し、Edgeのローカル保存は禁止する方向を検討したい。グループポリシーの PasswordManagerEnabled を無効化するだけで、組み込みマネージャーへの保存を禁止できる。

筆者の見解

2026年のブラウザがパスワードをメモリ上に平文で扱っていたというのは、Microsoft Defenderや Entra ID といった幅広いセキュリティ製品群を持つ同社としては「もったいない」と感じてしまう。セキュリティへの投資をあれだけ打ち出してきた会社が、ブラウザというエンドポイントの最前線でこの実装が残っていたのは素直に惜しい。

ただし、正直に認めて修正に動いた点は評価したい。「知らなかった」「問題ない」で押し切るベンダーより、誠実な対応を選んだMicrosoftの姿勢は信頼の回復につながる。

気になるのは、この問題がいつから存在し、なぜ今まで内部で検出されなかったかという点だ。外部の研究者に指摘されるまで気づかなかったとすれば、メモリ安全性に関する内部レビューフローに改善余地があることになる。MicrosoftはこれをEdge単体の修正で終わらせず、同様の実装が他製品に残っていないかを組織横断でレビューする機会にしてほしい。

日本のエンタープライズ環境でEdgeを標準ブラウザとして採用している組織は多い。セキュリティ修正は「しばらく様子を見る」のではなく、テスト期間を最短化して素早く適用するのが正しい判断だ。今回の対応が迅速で的確なものになることを期待している。

出典: この記事は Microsoft is fixing the way Edge stores your passwords の内容をもとに、筆者の見解を加えて独自に執筆したものです。