マイクロソフトはついに、自動スクリーンショット機能とAIを活用したRecall機能に関する顧客と研究者の懸念に対処しました。同社は、スクリーンショットの暗号化を強化し、機能にアクセスするには顔認証、指紋認証、またはPINの入力が必要になると約束しています。何よりも重要なのは、プライバシーを懸念する人に対し、Copilot+ PCを初めてセットアップする際にRecallを「不要」と言えばよいということです。
Recallは、最新のWindows 11搭載PCに組み込まれた新しいツールで、PCでの操作を数秒ごとに自動的にスクリーンショットします。その後、PCはAIモデルを用いてスクリーンショット内の単語や画像をスキャンします。ユーザーはこのツールを使って過去のPCアクティビティを検索し、以前閲覧していたWebページやドキュメントに戻ることができます。MicrosoftのCEO、サティア・ナデラ氏は、まるでPCに「写真記憶」があるかのような機能だと述べました。
この機能はデフォルトでオンになるはずで、ユーザーは設定でオフにする必要がありました。しかし、Microsoftは方針を転換しました。Windowsおよびデバイス担当バイスプレジデントのパヴァン・ダヴルリ氏は木曜日、RecallはユーザーがPCをセットアップする際に「オプトイン」になると述べました。この機能はデフォルトでオフになっています。さらに、Recallのタイムラインにアクセスするには、Windows Helloシステムで生体認証を有効にする必要もあります。つまり、この機能にアクセスするたびに、PCに指紋スキャナーが搭載されているか、カメラを使用しているか、PINコードを入力する必要があるということです。
マイクロソフトが先月のBuildカンファレンスで新しいPC仕様を発表した直後、ネット上ではプライバシーへの影響を懸念する声が上がりました。マウンテンビューに本社を置くこのテクノロジー大手は、この機能はデバイス上で動作し、マイクロソフトはスクリーンショットを一切閲覧していないと主張し、懸念を和らげようとしました。スクリーンショットはデバイス上で暗号化されて保存され、そのユーザープロファイルのみがアクセスできるはずです。
マイクロソフトにとって事態は急速に悪化しました。リーク元として知られるAlbacoreが、RecallがCopilot+非搭載PCでも、ナデラ氏がプログラムに内臓されていると主張したNPUなしでも問題なく動作することを示したのです。それから1週間も経たないうちに、セキュリティ研究者のケビン・ボーモントは、WindowsのAppDataフォルダにあるOCR処理されたプレーンテキストファイルすべてに簡単にアクセスできることを突き止めました。Recallは、画面に表示されるパスワード、金融情報、その他の機密データを自動的にスクリーンショットするだけではありません。これらのファイルは、少しでもハッキング経験があれば誰でも簡単にアクセスできる状態です。
マイクロソフトはメディアに対し、ハッカーがリモートから Copilot+ Recall のアクティビティを盗み出すことはできないと語った。
現実:ハッカーはどうやって、ユーザーがPCで閲覧したすべての情報をプレーンテキストデータベースに記録した情報を盗み出すのでしょうか?とても簡単です。自動化しました。
HT探偵 pic.twitter.com/Njv2C9myxQ
— ケビン・ボーモント(@GossiTheDog)2024年5月30日
リリースまでまだ1週間ありますが、サイバーセキュリティ戦略家のアレックス・ハーゲナ氏は「TotalRecall」の無料GitHubリポジトリを公開しました。これは、Copilot+ PCにアクセスできる人なら誰でも、内部フォルダからスクリーンショットを抽出できるツールです。これまでの主な懸念の一つは、比較的単純なマルウェアを持つ悪意のある人物がPCに侵入し、Recallが1年間蓄積したすべてのデータを復元できる可能性があることです。
マイクロソフトは、これらのスクリーンショットはユーザーがWindows Helloの拡張サインインセキュリティで認証した後にのみ復号化されると主張しています。これらの新しいPCはすべて、このセキュリティソフトウェアがデフォルトでインストールされた状態で出荷されます。
Copilot+ PCの発売は6月18日のままだが、Microsoftは新製品の出荷前にソフトウェアを再度変更せざるを得なくなった。これらの変更がセキュリティ研究者を納得させたかどうかについて、ボーモント氏は「細部にこそ落とし穴があり、大きな問題になる可能性もあるが、良い点もある」と述べている。しかし、Microsoftの目玉となる新ソフトウェア機能の明白なセキュリティ欠陥を指摘するのに、「Twitterのプロフィールに『簡易トイレレンタル』と書いた漫画のポーグ…そしてソーシャルメディア上の他の人たち」まで必要だったのは、実に腹立たしいと付け加えた。
