【告発】Edge保存パスワードが丸見え…Microsoftは「仕様」

ノルウェーの国営送電会社Statnettで働くペネトレーションテスト専門家、トム・ヨラン・ソンスティビセテル・ローニング氏が、Microsoft Edgeの致命的な設計を白日の下に晒した。 Edgeは起動した瞬間、保存した全パスワードを復号し、プロセスメモリに平文で常駐させ続ける。今このセッションで触っていないサイトのクレデンシャルすら、全部！検証されたバージョンはEdge 147.0.3912.98。 4月29日、ノルウェーで開催された技術カンファレンス「BigBiteOfTech」（主催：Palo Alto Networks Norge）で、ローニング氏はこの事実を公開し、業界に衝撃を与えた。報告を受けたMicrosoftの公式回答は、たった3文字。「by design」、つまり仕様。 しかも、彼が検証した全てのChromium系ブラウザの中で、こんな挙動を見せたのはEdgeだけ。Chromeは2024年にApp-Bound Encryptionを導入し、復号鍵をChromeプロセスに固縛。さらに復号自体がオンデマンドで、メモリスクレイピングをほぼ無力化している。 極めつけはパラドックス。EdgeのUIは、パスワードを表示する前にWindows Helloでの再認証を要求する。だが同じEdgeプロセスは、すでに全平文をメモリに保持しているのだ。これは「セキュリティ劇場」と呼ばれても仕方ない。 共有環境では更に深刻。ターミナルサーバーで管理者1人を侵害すれば、ログオン中・切断中ユーザー全員のクレデンシャルが、タスクマネージャからのメモリダンプだけで刈り取れる。 あなたはこれでもEdgeに保存し続ける派？それともChromeへ乗り換える派？コメント欄で『◯◯職、◯◯派』と教えてほしいのだ！ ━━━━━━━━━━━━━━━━━━━━ 🔗 参考情報 ━━━━━━━━━━━━━━━━━━━━ ・EdgeSavedPasswordsDumper/EdgeSavedPasswordsDumper at main · L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper · GitHub：https://github.com/L1v1ng0ffTh3L4N/Pr... ・Norsk forsker avslører Edge-passord i klartekst - ITavisen：https://itavisen.no/2026/05/04/micros... ・x.com：https://x.com/IntCyberDigest/status/2... ・Microsoft Edge password manager security | Microsoft Learn：https://learn.microsoft.com/en-us/dep... ━━━━━━━━━━━━━━━━━━━━ 🎨 クレジット ━━━━━━━━━━━━━━━━━━━━ ・音声合成：VOICEVOX（https://voicevox.hiroshiba.jp/） ・キャラクターイラスト：坂本アヒル様 ━━━━━━━━━━━━━━━━━━━━ 📩 お仕事の依頼・お問い合わせ ━━━━━━━━━━━━━━━━━━━━ 最新AIツールやサービスの紹介依頼など、 お仕事に関するご連絡は下記アドレスまでお願いいたします。 ・メールアドレス：[email protected] ━━━━━━━━━━━━━━━━━━━━ 🚀 チャンネルについて ━━━━━━━━━━━━━━━━━━━━ ・最新のAI・ITニュースを爆速でお届け中！ ・2026年4月開設。開始10日で登録者1,000人を突破！ ・最新のAI動向や社会実装、最新トレンドを深掘り解説します。