セキュリティ識者「Edgeはすべてのパスタワードをメモリ上に平文保持してる!危険」MS「仕様です」どっちが正紫院だよ

1 : 2026/05/07(木) 15:55:15.30 ID:ao0fFM0I0

https://pc.watch.impress.co.jp/docs/news/yajiuma/2106665.html

Edgeは全パスワードをメモリ上に平文保持。研究者の指摘にMicrosoftは「仕様」

レス1番のリンク先のサムネイル画像
2 : 2026/05/07(木) 15:55:39.68 ID:ao0fFM0I0
ノルウェイのセキュリティ研究者およびリスクハンターのTom Jøran Sønstebyseter Rønning氏は5月4日、自身のX(旧Twitter)上で、Microsoft Edgeが起動時に保存したサイトのパスワードといった認証情報を平文でメモリ上に展開しており、リスクになり得ることを報告した。

Rønning氏によれば、Edgeは起動時に保存されているすべての認証情報を復号化しており、平文としてプロセスメモリに常駐させているという。これは該当する認証情報を使用するサイトを一度も訪問せずとも発生する。管理者権限でログインしている場合、メモリのダンプを行なうことで認証情報を取得できる。

Edgeではサイトで認証情報の入力を必要とする際に、パスワードマネージャーにより統一のパスワードで再認証が要求される。しかし、プロセス自体はすでに平文として認証情報を保持している。同氏がテストしたほかのChromiumベースのブラウザでは、必要な認証情報のみ復号化されるため、Edgeだけの挙動だという。

同氏はこの問題をMicrosoftに報告したが、この挙動は「設計通りである」と回答されたという。その後、責任ある開示として共有するつもりがあるとMicrosoftに伝え、メモリに平文で保存されているパスワードを抽出するためのコンセプトレベルのソフト「EdgeSavedPasswordsDumper」をGitHubで公開した。

なお、Rønning氏自身も述べているが、これは「エクスプロイト」には該当しない。メモリのダンプを行なうためには管理者の権限が必要なうえに、いずれ復号化したパスワードをメモリに保持する必要があるからだ。

同氏が問題視しているのは、「起動直後に使われていないすべてのパスワードを復号化してメモリ上に保持している」点だ。管理者権限を持つユーザーがほかのログイン済みの2つのアカウントに保存された認証情報を閲覧できたため、1つのPCを共有で使っている場合など、管理者権限が侵害されるとリスクが高まる。そのためほかのブラウザと同様、必要時にのみ復号化する実装をすべきだとしている。

3 : 2026/05/07(木) 15:55:47.20 ID:ao0fFM0I0
晋さん…
4 : 2026/05/07(木) 15:57:38.43 ID:mHFL02fZ0
今までバレてなかったのが
逆に安全性の担保にならないか
5 : 2026/05/07(木) 15:58:05.04 ID:zWzuvOv30
ひらふみさんの方式だと問題あるわけ?
6 : 2026/05/07(木) 15:59:12.85 ID:HmdPRh8A0
>管理者権限を持つユーザーがほかのログイン済みの2つのアカウントに保存された認証情報を閲覧できたため、1つのPCを共有で使っている場合など、管理者権限が侵害されるとリスクが高まる。

かなり限定的だけど悪用されるリスクはあるのか

7 : 2026/05/07(木) 15:59:59.99 ID:GrPkHmzZ0
マジかよペペロンチーノ保持してるのか
8 : 2026/05/07(木) 16:01:42.70 ID:/uGXikEs0
わざわざChromeと別の実装にする意味は
9 : 2026/05/07(木) 16:01:54.36 ID:fX9hXv8z0
蟻の一穴(*´∀`*)
僕の臀穴(*´∀`*)
10 : 2026/05/07(木) 16:03:13.13 ID:MX5xgynB0
美味しいカルボナーラ食べたいな
11 : 2026/05/07(木) 16:03:55.23 ID:6NQn8kTsM
何人かで共有する貸出PCで証券会社とかにログインしたら管理者はパスワード見れるってこと?
12 : 2026/05/07(木) 16:04:26.81 ID:anRNHXsb0
ChromeでもEdgeでもブラウザにパスワード保存だけはやめとけと再三言われてるのに今時保存するやついるか?
14 : 2026/05/07(木) 16:05:32.55 ID:bc1qt+4Y0
>>12
毎回入力してる方が危ないって見て保存してた
どっちが正しいのか詳しい人教えて
15 : 2026/05/07(木) 16:08:35.95 ID:mHFL02fZ0
>>14
毎回入力の何が危ないのか説明してくれないと
18 : 2026/05/07(木) 16:11:06.67 ID:ao0fFM0I0
>>14
サイトごとに使い回すのが危険→サイトごとにランダム生成してくれるブラウザパスワードがいい
っていうことでは
使い回ししなければどこにも保存しないほうが安全なのは間違いない
ただ事実4000ページ、これは皆さん記憶しておられないと思います
22 : 2026/05/07(木) 16:12:35.95 ID:DjBlJUG00
>>14
今のNISTはPWは長くしてパスワードマネージャーを積極利用しましょうって言ってる
あと複雑さより長さが重要って言ってて12桁の乱数より30文字の文章の方が強いとかも言ってる

まぁ外部からメモリ上のPW見られるなら終わってるわけだしさ

23 : 2026/05/07(木) 16:16:09.89 ID:anRNHXsb0
>>14
ブラウザ内蔵のじゃなくてパスワードマネージャーならOK。KeypassとかBitwardenとか
16 : 2026/05/07(木) 16:09:16.71 ID:cjRT6eG00
>>12
偽サイトに入った時は自動で入力しないからURL確認する習慣無い人は保存してもいいんじゃね
てか毎回パスワード打ってるのか?
19 : 2026/05/07(木) 16:11:11.12 ID:yzS0K3090
>>12
なりすましサイト問題があるから人間がいちいちパスワード入力するほうが危険
まぁ平文でずっとメモリ上に残ってるのは大問題だが
21 : 2026/05/07(木) 16:12:09.82 ID:bSf5miL5M
>>19
ブックマーク以外から飛ぶなよw
17 : 2026/05/07(木) 16:11:01.32 ID:D1RETTgl0
んじゃその仕様が危険って事か
何も矛盾はないな
20 : 2026/05/07(木) 16:12:02.87 ID:Idf+a4mA0
平文はちょっと…
25 : 2026/05/07(木) 16:21:04.73 ID:BIddlbL90
俺のペンネはアルデンテってか!
27 : 2026/05/07(木) 16:33:23.01 ID:E3xHnur70
仕様が危険
QBB
28 : 2026/05/07(木) 16:42:17.51 ID:kDoq5+LU0
DAEMON Tools入れてた人はご愁傷さま
29 : 2026/05/07(木) 16:44:51.35 ID:zs4Eyntp0
メモリ自体が守られてるから無問題ってこと?
30 : 2026/05/07(木) 16:52:16.80 ID:PRG9lqFx0
・管理者アカウントを普段使いするな
・管理者権限を責任者以外に与えるな

とりあえず、これで済む話だろ

コメント

タイトルとURLをコピーしました