「Copilot+ Recall」わずか2行のコードでWindows PC上のすべての入力や閲覧履歴を盗むことが可能に
ありがとうございます!
Microsoftの最新機能「Copilot+ Recall」が、Windows 11の一部として導入され、ユーザーのPC画面を常時キャプチャし、すべての活動を検索可能なデータベースに保存するという画期的な機能です。現在は「Copilot+ PC」をサポートするSnapdragon X PlusとSnapdragon X Eliteチップが搭載されたPCのみで利用可能です。
しかし、「Copilot+ Recall」はわずか2行のコードでWindows PC上のすべての入力や閲覧履歴を盗むことが可能になるという重大な欠陥があるとケビン・ボーモント氏が指摘しています。
Copilot+ Recallとは?
Copilot+ Recallは、ユーザーのPC画面のスクリーンショットを常時撮影し、それを検索可能なデータベース(SQLite)に保存する機能です。
MicrosoftのCEOであるサティア・ナデラ氏はこれを「PC で行ったすべての操作を仮想的に写真のように記憶します。」(You basically a virtual photographic memory of everything you’ve ever done on your PC.)と説明しています。この機能によりユーザはPCで行った過去の作業を検索したり閲覧することが可能になります。
Copilot+ Recallはパスワードも記録される?
データはローカルで処理され保存されますが、キャプチャされたスクリーンショットとテキストデータはSQLiteデータベースに保存され、これがユーザーの取り出しや読み出しが可能なAppDataフォルダ内に格納されます。
SQLiteデータベースに保存されたデータは保存時に暗号化されますが、ユーザーがPCにログインしCopilot+ Recallを実行している間は、データは復号化されます。
これにより、PCにアクセスできるあらゆるソフトウェアがこのデータにアクセスできる状態となります。つまり、ハッカーがシステムにアクセスした場合、このデータベースを容易に抽出できるのです。
ケビン・ボーモント氏は、既存のInfoStealerマルウェアが簡単にこの新機能に対応できることを指摘しています。これにより、ユーザーが過去数ヶ月間に閲覧・入力したすべての情報が盗まれる可能性があります。
さらに、Copilot+ Recallはコンテンツに対するモデレーションを行わないとされ、Microsoftのサポートページにも「パスワードや財務アカウント番号などの情報は非表示になりません。」と記載されています。
Copilot+ Recallをターゲットにした場合の被害
Microsoftは、このデータが安全でユーザーのみがアクセス可能だと主張していますが、実際のテストでは、セキュリティ研究者によってその主張が否定されています。ローカル処理だけでは、ローカルのマルウェア攻撃に対するリスクを軽減することはできません。
悪意のある攻撃者がこのデータを悪用することは非常に簡単です。わずか2行のコードで、このデータベースを自動的に抽出し、外部に送信することが可能です。
特にInfoStealerマルウェアは日を追うごとにローカルに保存されているブラウザーのパスワードを自動的に盗むように方向転換しているとケビン・ボーモント氏は指摘しており、Copilot+ Recallに対応させることも容易であることから、もし脅威アクターがPCに侵入した場合には簡単にこのデータベースを自動的に抽出し、外部に送信することが可能だとしています。
Copilot+ PCのRecall機能はリコール!
ケビン・ボーモント氏は、消費者および企業がCopilot+ PCのRecall機能を無効にし、再設計されるまで使用を避けるべきだと強く勧めています。この機能がもたらすリスクは非常に大きく、ユーザーのプライバシーとセキュリティを守るためには、Microsoftがこの問題に対処し、セキュリティ対策を強化することが不可欠です。
まとめ
Copilot+ Recall機能は、ユーザーの活動を便利に記録・検索できるという一見魅力的な機能を提供していますが、その背後には重大なセキュリティリスクが潜んでいます。ユーザーのプライバシーとデータセキュリティを守るためには、この機能を慎重に取り扱い、必要に応じて無効化することが求められます。
魅力的な機能なだけにMicrosoftは設計を見直し、迅速にこれらの懸念を解決した「Copilot+ Recall」を発表することが望まれます。