パスワードも口座番号もプレーンテキストで保存
Copilot+ PC上の全てを記録する「Recall」、セキュリティ上の大惨事を引き起こす?
マイクロソフトはPC上で見たもの・行ったこと全てを探せる新機能「Recall」を世に送り出そうとしている。6月18日に発売される「Copilot+ PC」に準拠したマシンで利用できる予定だが、この機能がサイバーセキュリティにとって「大惨事」になりかねないと専門家が警告を発している。
RecallはローカルのAIモデルを使い、コンピューター上で見たり行ったすべてのスクリーンショットを記録し、数秒で何でも検索できる機能だ。マイクロソフトは、完全にデバイス上に構築・保存されるため、プライバシーも保護されると主張している。
が、サイバーセキュリティ専門家のKevin Beaumont氏は、本機能に潜在的なセキュリティ上の欠陥があると報告。同氏はランサムウェア「WannaCry」などを警告したことがあり、マイクロソフトの「Threat Protection」部門で働いていた時期もある。
そんなBeaumont氏は、先週からRecallをテスト。そこで本機能が、データをプレーンテキストで保存していることを発見した。
Recallは数秒ごとにスクリーンショットを撮影、これをオンデバイスのAzure AIが自動的にOCR(文字認識)してプレーンテキストに変換。それを暗号化せず、ユーザーフォルダ内のSQLiteデータベースに書き込むという仕組みだ。
マイクロソフトはハッカーがリモートでRecallの記録を流出させることは不可能だと宣伝した。が、現実は「ユーザーが自分のPCで閲覧したもの全てがプレーンテキストデータベースに保存」されており、ハッカーが流出させるのは非常に簡単というわけだ。
PCの管理者であればAppDataフォルダからアクセスできるし、管理者でなくてもアクセスできるとBeaumont氏は主張している。
すでにPCから個人情報や機密データを盗み出すマルウェア「InfoStealer」は広く出回っている。「Recallは、あなたが今まで見てきたもの全てを、数秒以内に自動でスクレイピングすることを可能にする」とBeaumont氏は述べている。
マイクロソフト自身、「Recallはコンテンツモデレーションを実行しないことに注意されたい。パスワードや金融口座番号などの情報は隠されない」とも認めている。ユーザーに隠されないデータは、盗み出したハッカーにも丸見えになるだろう。
さらにBeaumont氏は自身のRecallデータベースを流出させ、即座に検索できるウェブサイトを作成。その技術的な詳細を伏せているのは「マイクロソフトが対応する時間を与えたい」からだという。
今のところCopilot+PCでは、Recall機能がデフォルトで有効になる見通しだ。すでにテスト機を貸し出されたメディア関係者はそれを確認しており、初期セットアップ中に無効にする選択肢はなく、後で設定パネルから無効にする他なかったと報告している。
ただし、マイクロソフト社内では「Recallを有効にしないオプション」を活発に議論しているとも報じられている。
公式FAQページには、マルウェアがRecallデータベースを盗み出す可能性には言及していない。あくまで「RecallスナップショットはCopilot+ PC本体とローカルのハードディスク上に保存され、デバイスのデータ暗号化と(Windows 11 Proまたは企業向けWindows 11 SKUを使用している場合は)BitLockerを使用して保護されている」と述べるに留まる。
が、Beaumont氏ディスクの暗号化が有効になるシチュエーションは限られていると指摘。「PCにログインしてソフトウェアを実行すると、暗号化は解除される」「保存時の暗号化は、誰かがあなたの家に来てノートPCを物理的に盗んだ場合にのみ役立つ」とのこと。それはPCにログインして使用している最中に、リモートで侵入するハッカーのやることではないというのだ。
マイクロソフトのサティア・ナデラCEOは「場合によっては、新機能のリリースやレガシーシステムのサポート継続等よりも、セキュリティを優先することになる」と社内で述べたと報じられていた。Recallが急きょ提供を中止する、あるいはCopilot+PCの発売初日に緊急アップデートを配信する可能性もあり得そうだ。
- Source: Kevin Beaumont
- via: The Verge