Microsoft Edge、メモリ上にパスワードの平文展開をやめる。MSが方針転換
Microsoftは、Microsoft Edgeに保存されているパスワードの平文展開をやめることを発表しました。
これまでの経緯とMicrosoftの発表
Microsoft Edgeに保存されている”すべてのパスワード”は、Microsoft Edge起動時に復号化されて平文でメモリ上に展開・読み込みされます。言い換えるなら、攻撃者がメモリの中身を見ることができる場合、それはMicrosoft Edgeに保存されているパスワードも抽出できることを意味します。
この挙動の危険性はセキュリティ研究者のTom Jøran Sønstebyseter Rønning氏により指摘されました。しかし、Microsoftは、この挙動を悪用するにはPCがすでに侵害されていることが前提になるとし、「仕様」との見解を示しました。これが2026年5月上旬の話です。
それからしばらくが経ち、2026年5月14日(米国時間)、Microsoftはこの挙動を変更することを発表しました。
Microsoftは以下のように述べています。
今後、Microsoft Edgeの起動時にパスワードがメモリに読み込まれなくなります。この変更はMicrosoft Edgeのすべてチャネル(Stable、Beta、Dev、Canary、Extended Stable)に適用されます。 この変更はすでにCanaryチャネルでは適用されています。ほかのチャネルもBuild 148以降の次のアップデートにて適用されます。 現在、Microsoft Edgeのパスワードマネージャーを利用している場合、特別な対応は必要ありません。 報告されたシナリオは、攻撃者がすでにユーザーのデバイスを制御していることが前提になります。その状況はブラウザによる防御範囲を超えたものです。今回の報告は、ブラウザを通じて認証情報にアクセスするための新たな経路を示すものではありません。 しかし、セキュリティ上の問題と見なされないケースであっても、私たちはMicrosoft Edgeの多層防御に取り組んでいます。 ― Microsoft |
Microsoftは、これまで行ってきたメモリ上のパスワード平文展開はセキュリティ的に問題ないとの認識を改めて示し、その上で、多層防御の一環として、メモリ上にパスワードが読み込まれないよう仕様変更を行ったと述べています。