Microsoftが、Edgeブラウザの起動時にすべての保存済みパスワードを平文でメモリに読み込む挙動を改める方針を示しました。Chromiumベースのブラウザでこの挙動が確認されているのはEdgeだけと報じられており、バージョン148で改修されます。同社は「ユーザーが危険にさらされていた事実はない」と安全性への懸念を否定しつつも、今月初めにセキュリティ研究者が指摘した問題への対応として、起動時の挙動を変更します。
セキュリティ研究者の指摘で明らかになった挙動
今月初め、セキュリティ研究者のTom Jøran Sønstebyseter Rønning氏が、Edgeが起動時にすべての保存済み認証情報を復号し、そのデータをメモリ上に保持し続ける挙動を発見しました。
Chromiumベースのブラウザの中で、起動時に保存済みパスワードをすべて平文でメモリに展開しているのはEdgeだけとされています。比較対象として挙げられているChromeは、ユーザーがパスワードの表示を要求した際にのみ、その特定のパスワードを復号して平文でメモリに読み込む仕様になっています。
両者の違いを整理すると次のとおりです。
| ブラウザ | 起動時の挙動 | 平文展開のタイミング |
|---|---|---|
| Microsoft Edge | 全パスワードを復号してメモリ展開 | 起動直後(全件) |
| Google Chrome | 必要時のみ復号 | ユーザーが表示要求した特定パスワードのみ |
問題ない、でも直す——Microsoftのちぐはぐな対応
Rønning氏が発見を公開した直後、Microsoftはこの挙動について「アプリケーションの想定された機能(expected feature)である」との声明を出しました。同社は、この挙動を通じてブラウザのデータにアクセスするには、すでに侵害された端末が必要だとも説明しています。
仕様変更を告知するブログ記事でも、現行の挙動はセキュリティ上の懸念にはあたらないという立場を繰り返しています。
「既存の基準に基づけば、この挙動は想定された脅威モデルの範囲内に収まる。攻撃者がすでに端末を侵害している段階から初めてリスクが発生するためだ。一方で改善の余地もあると考えており、本記事では何をどう変えるのかを説明する」
つまりMicrosoftは「リスクは限定的だが、それでも改善する」というスタンスを示しています。問題はないと繰り返しながらすぐさま挙動を変更するという、ややちぐはぐな対応です。
なお、関連する話題として、Chromeが約4GBのAIモデルを自動的にインストールしている挙動が報じられているなど、Chromiumベースのブラウザを取り巻く「想定外の挙動」への関心は高まっています。今回のEdgeの件も、その文脈で注目を集めたかたちです。
バージョン148での変更点と展開状況
新しいバージョン148では、Edgeは起動時にパスワードをメモリへ読み込まなくなります。この変更はすでにEdgeのCanaryチャネルで有効化されており、まもなく全ユーザーへ展開されると報じられています。
ユーザー側で押さえておきたいポイントは次の通りです。
- 起動直後にメモリダンプを取得しても、保存済みパスワードが平文で一括して見える状態にはならなくなります
- ただしMicrosoftの説明上、この攻撃は端末がすでに侵害されている前提のため、一般的な利用環境での緊急性は高くないと位置づけられています
- 重要な認証情報を扱うのであれば、ブラウザ内蔵の機能ではなく専用のパスワードマネージャーを併用するのが、引き続き堅実な選択肢になります
Edgeを業務で利用している環境では、バージョン148への更新が配信され次第、適用しておくのが妥当な判断と言えます。CanaryチャネルではなくStable版を待っている場合は、配信タイミングを注視しておくとよいでしょう。
バージョン148がもたらすその他の変更点とSecure Future Initiativeとの関係
今回のメモリ展開挙動の修正は単発のパッチではなく、Edge全体のセキュリティ強化方針の一部に位置づけられています。Microsoftは、今回の変更がSecure Future Initiativeと顧客フィードバックに基づく判断だと説明しています。
同じく148で配信されている関連変更は以下の通りです。
- Microsoft Edge 148.0は2026年5月7日にリリースされました
- Edge 148.0.3967.54では、Chromium由来のCVE-2026-2441(実環境で悪用されたリモートコード実行脆弱性)への対応が含まれています
- カスタムプライマリパスワード機能は廃止予定で、2026年6月4日以降は既存ユーザーが自動的にデバイス認証へ移行されます
つまり、起動時メモリ展開の改修と並行して、認証方式そのものをデバイス認証(Windows Hello等)へ寄せる流れが進んでいます。Edge内蔵パスワード管理を使い続ける場合は、Windowsアカウント側のセキュリティ強化が一層重要になります。
他Chromium系ブラウザでの検証結果と推奨される利用者側の対応
今回の指摘がEdge固有である点は、研究者による横並びの検証で裏付けられています。研究者はGoogle Chrome、Brave、Vivaldi、Opera、Microsoft Edgeで挙動を検証し、この挙動を示したのはEdgeだけでした。さらにSANS Internet Storm CenterのRob VandenBrink氏も、Edgeを開いたままメモリダンプを取得することで同じ問題を再現しています。
再認証プロンプトは誤解を招く挙動になっており、UIではパスワード表示前に本人確認を求めるにもかかわらず、ブラウザプロセス側にはすでに全パスワードが平文で展開されています
業務端末や共有環境で重要アカウントを扱う利用者には、踏み込んだ対応が推奨されています。具体的には、Edgeでの新規パスワード保存を停止し別のパスワードマネージャーへ移行する、メール・金融・管理ツール等の高リスクパスワードを変更する、2FAやパスキーを有効化する、といった手順が挙げられています。
Q&A
Q. 自分の保存済みパスワードはすでに漏洩しているのでしょうか? パスワードを変更すべきですか? Microsoftは、今回の挙動を悪用するには端末がすでにマルウェア等で侵害されている必要があるとし、ユーザーがリスクにさらされていた事実は否定しています。したがって、通常のPC利用環境であれば、今回の件のみを理由に全パスワードを一斉変更する必要性は低いと考えられます。一方で、不審なソフトの実行履歴がある、共有PCで重要アカウントにサインインしていた、といった心当たりがある場合は、優先度の高いアカウント(メール・銀行・SNS等)からパスワード変更と二要素認証の有効化を行い、可能であればブラウザ内蔵機能ではなく専用のパスワードマネージャーへ移行するのが安全側の対応です。
Q. バージョン148はいつ自分のEdgeに来ますか? すでにCanaryチャネルでは有効化されています。Stable版への具体的な展開時期は明らかにされていませんが、まもなく全ユーザーに行き渡ると伝えられています。
Q. Chromeなど他のブラウザは安全なのでしょうか? Chromeは、ユーザーがパスワードを表示するよう要求したときだけ該当パスワードを復号してメモリに読み込む実装と説明されており、起動時に全件を平文展開するのはEdge固有の挙動だと報じられています。
