Smart Answers AI によって生成された概要
結論は:
- Microsoft Edge はこれまで、ユーザー パスワードを暗号化されていないプレーン テキストでコンピュータ メモリに保存していたため、重大なセキュリティ上の脆弱性が生じ、ローカルの攻撃者が保存された資格情報に簡単にアクセスできるようになっていました。
- セキュリティ研究者の Tom Jøran Sønstebyseter Rønning 氏がこの欠陥を発見しましたが、Microsoft は当初この欠陥を意図的な設計上の決定として擁護し、方針を転換しました。
- PCWorld は、Microsoft が Edge バージョン 148 でこの問題を修正し、セキュリティを強化するために専用のパスワード マネージャーに切り替えることをユーザーに推奨していると報告しています。
2026 年 5 月 18 日に更新: Microsoftは当初、単純なパスワードの動作は「意図的な設計上の決定」であると述べていたが、同社は現在態度を変えている。 Edge バージョン 148 以降、ブラウザーでは、すべてのパスワードが暗号化されずにロードされたままになることはなくなりました。
2026 年 5 月 5 日のオリジナル ストーリー: パスワードをブラウザに保存する傾向がある場合は、より注意する必要があります。このソーシャル メディアの投稿に示されているように、ノルウェーのセキュリティ研究者は、パスワードがプレーン テキストとしてメモリに保存されることを示す Microsoft Edge の深刻な脆弱性を発見しました。
ローカルにアクセスできる悪意のあるユーザーは、たとえ特定のセッション中に使用されなかったとしても、保存されているすべてのパスワードを簡単に傍受できます。攻撃者は単純にそれらを平文で取得してコピーする可能性があります。ビデオでは、Tom Jøran Sønstebyseter Rønning がこれを実際にデモンストレーションしています。
Edgeのパスワードマネージャーに重大な欠陥がある
この脆弱性は、Microsoft Edge のパスワード マネージャーに影響します。パスワード マネージャーは通常、エンドツーエンドの暗号化を使用し、ユーザーがどこからでもアクセスできるようにパスワードをクラウド ストレージに保存します。パスワードが必要な場合、パスワード マネージャーは通常、パスワードを復号化して使用し、その後削除します。
Edge がすべてのパスワードを暗号化せずにロードしたままにするという事実は、異常かつ危険です。ブラウザに組み込まれているものも含め、他のパスワード マネージャーはこのように動作しません。Ronning 氏によると、この動作をテストした Chromium ベースのブラウザは Edge だけです。
Edge では、パスワード マネージャーでパスワードを表示するために認証が必要ですが、攻撃者が RAM を読み取るだけでアクセスできる場合 (ここで起こっていることです)、これは防御的な価値はほとんどありません。
これは意図的なものですか、それともバグですか?
Ronning 氏は自身の調査結果を Microsoft に共有したところ、予期せぬ反応を受けたようです。 ITavisen (機械翻訳) によると、Edge のパスワード管理動作は「意図的な設計上の決定であり、バグではありません」とのことです。このデザインがユーザーにどのようなメリットをもたらすかは不明です。
Rønning 氏は、いずれにしてもその仕組みについてユーザーに警告することを決定し、また、Edge パスワードが平文で保存されているかどうかを確認するために誰でも使用できる独自のツールを GitHub で公開する予定です。
Edge を使用していて、パスワードがブラウザーに保存されている場合は、実際に安全な別のパスワード マネージャーに切り替えてから、Edge からすべてのパスワードを削除する必要があります。どこから始めればよいかわからない場合は、PCWorld が選んだ最高のパスワード マネージャーをチェックしてください。
この記事はもともと姉妹誌の PC-WELT に掲載されたもので、ドイツ語から翻訳およびローカライズされたものです。
