1 : 2026/05/18(月) 14:30:17.84 ID:wJMgU4pH0
ノルウェイのセキュリティ研究者およびリスクハンターのTom Jøran Sønstebyseter Rønning氏は5月4日、自身のX(旧Twitter)上で、Microsoft Edgeが起動時に保存したサイトのパスワードといった認証情報を平文でメモリ上に展開しており、リスクになり得ることを報告した。
Rønning氏によれば、Edgeは起動時に保存されているすべての認証情報を復号化しており、平文としてプロセスメモリに常駐させているという。これは該当する認証情報を使用するサイトを一度も訪問せずとも発生する。管理者権限でログインしている場合、メモリのダンプを行なうことで認証情報を取得できる。
Edgeではサイトで認証情報の入力を必要とする際に、パスワードマネージャーにより統一のパスワードで再認証が要求される。しかし、プロセス自体はすでに平文として認証情報を保持している。同氏がテストしたほかのChromiumベースのブラウザでは、必要な認証情報のみ復号化されるため、Edgeだけの挙動だという。
同氏はこの問題をMicrosoftに報告したが、この挙動は「設計通りである」と回答されたという。その後、責任ある開示として共有するつもりがあるとMicrosoftに伝え、メモリに平文で保存されているパスワードを抽出するためのコンセプトレベルのソフト「EdgeSavedPasswordsDumper」をGitHubで公開した。
なお、Rønning氏自身も述べているが、これは「エクスプロイト」には該当しない。メモリのダンプを行なうためには管理者の権限が必要なうえに、いずれ復号化したパスワードをメモリに保持する必要があるからだ。
同氏が問題視しているのは、「起動直後に使われていないすべてのパスワードを復号化してメモリ上に保持している」点だ。管理者権限を持つユーザーがほかのログイン済みの2つのアカウントに保存された認証情報を閲覧できたため、1つのPCを共有で使っている場合など、管理者権限が侵害されるとリスクが高まる。そのためほかのブラウザと同様、必要時にのみ復号化する実装をすべきだとしている。
https://pc.watch.impress.co.jp/docs/news/yajiuma/2106665.html
3 : 2026/05/18(月) 14:33:09.67 ID:dzLuB9Qm0
エッッッッッッ亜種
5 : 2026/05/18(月) 14:33:27.89 ID:dEH1Ldd+0
仕様なので問題無し
6 : 2026/05/18(月) 14:34:20.31 ID:746lbg7D0
ブラウザに保存させる奴は馬鹿
7 : 2026/05/18(月) 14:34:31.91 ID:UgV/NepN0
不具合じゃなくてよかったね
8 : 2026/05/18(月) 14:34:47.30 ID:xGhLHT7k0
仕様ならしようがないな
9 : 2026/05/18(月) 14:35:07.20 ID:9/Uy19GPH
逆にブラウザのパスワードをメモリに常時保存させ続けるってどうやるんだよ
10 : 2026/05/18(月) 14:36:19.17 ID:hIjGwmKf0
Chromeも昔はそうだったぞ
17 : 2026/05/18(月) 14:43:30.22 ID:9/Uy19GPH
>>10
chromeもこんなバックドアあったな
Firefoxだけパスワード堅固
こういうのはパスキー対応してるブラウザだけか
11 : 2026/05/18(月) 14:36:49.47 ID:XFD5heTBd
メモリに平文で保存されているパスワードを抽出するためのコンセプトレベルのソフト「EdgeSavedPasswordsDumper」をGitHubで公開した。
これ犯罪に使われたら
やばくね
14 : 2026/05/18(月) 14:40:24.41 ID:hbn7V52wM
>>11
端末に侵入しても権限昇格しないと意味ないから悪用は現時点では不可能
将来的に他の脆弱性が発見された時にリスクになりうる
20 : 2026/05/18(月) 14:49:38.16 ID:XFD5heTBd
>>14あるフリーソフトにこのソフトと同じ挙動するコードを入れておけば
あるユーザーがダウンロードしてフリーソフトを起動したらパスワード吸われるやん
個人PCならユーザー本人が管理者でしょ
22 : 2026/05/18(月) 14:55:10.87 ID:iU3enbAI0
>>14
テクサポにメモリダンプ送るときには気をつけないとな
12 : 2026/05/18(月) 14:37:23.05 ID:pCoqX8cw0
複数人で扱う前提だと気を付けましょう、みたいな話だっけ
13 : 2026/05/18(月) 14:39:17.84 ID:b2BA3vp60
これサーバで仮想環境を動かしてるやつがヤバい
15 : 2026/05/18(月) 14:40:57.02 ID:SgFot5290
遅報過ぎるわ
開発版ではチッうっせーなで結局直してる
16 : 2026/05/18(月) 14:41:11.50 ID:V7qVQqaD0
>なお、Rønning氏自身も述べているが、これは「エクスプロイト」には該当しない。メモリのダンプを行なうためには管理者の権限が必要なうえに、いずれ復号化したパスワードをメモリに保持する必要があるからだ。
「金庫に入った後なら金庫の中の情報は丸見え」と言ってるようなもの
こういう(脆弱性)(仮)は結構ある
19 : 2026/05/18(月) 14:45:57.60 ID:9/Uy19GPH
>>16
CobaltStrike、Lummaインフォスティーラーが主にパスワード窃取するときはそこの脆弱性ね
18 : 2026/05/18(月) 14:43:53.29 ID:aRVDt6vD0
ブラウザにAI常駐してるからリスク高いな
あのクソしめじ頭おかしいし
24 : 2026/05/18(月) 14:56:04.12 ID:qjlk8nnG0
>>18
あー
Copilotはやらかしそー
21 : 2026/05/18(月) 14:51:47.16 ID:nvC7G60+0
ID Manager以下かよ
23 : 2026/05/18(月) 14:55:44.06 ID:DVoh8VFP0
●のパスワードを平文で保存していたひろゆき並み
25 : 2026/05/18(月) 14:57:07.98 ID:HfiYhTr40
これマイクロソフトが発言撤回して修正を約束したやつじゃん
話題が遅い👺
26 : 2026/05/18(月) 14:58:25.78 ID:7yBDDHmd0
他のパスワードマネージャーは金庫の前にいる時だけ金庫の鍵が開くけどEdgeは自分が家にいたら別の部屋にいても金庫の鍵が開いてるくらいの差だろ
27 : 2026/05/18(月) 14:59:30.81 ID:GxHaWJXy0
大炎上して方針転換して修正宣言したぞ
28 : 2026/05/18(月) 15:04:22.48 ID:vfbdC/pG0
普段使いFirefoxだから別にいいや
29 : 2026/05/18(月) 15:06:58.41 ID:qvtjX3510
MSのソフトがまともなはずないじゃん
30 : 2026/05/18(月) 15:07:48.75 ID:J3Q8lny10
>>1
復号化ってなんだよのツッコミ待ちか?
31 : 2026/05/18(月) 15:11:41.89 ID:6dax+7g7M
まあいいじゃんそういうの
32 : 2026/05/18(月) 15:13:09.77 ID:ApiukioC0
今すぐ削除するわ㌧クス
33 : 2026/05/18(月) 15:13:10.89 ID:frQ0d8C00
仕様変えるって発表してんじゃん
相変わらず嫌儲の情報は周回遅れだな
35 : 2026/05/18(月) 15:14:44.80 ID:ApiukioC0
>>33
セキュリティ意識ゴミ以下なのが分かったことが大事
34 : 2026/05/18(月) 15:13:57.86 ID:ge7cjDVUa
パスワードすらやめてほしいのに
36 : 2026/05/18(月) 15:19:09.90 ID:s0xf54gi0
なんでメモリーに保持すんの
認証のときにだけ使って破棄しろよ
仕様変更でよろしく
37 : 2026/05/18(月) 15:26:23.42 ID:ku3sRu/p0
さすがに大事なパスワードを保存するやつなんかおらんやろ~
コメント