GadgetDrop
Windows注目

EdgeはPC起動時に全パスワードを平文でメモリに展開——Microsoftは「設計上の仕様」と説明

GadgetDrop 編集部5
EdgeはPC起動時に全パスワードを平文でメモリに展開——Microsoftは「設計上の仕様」と説明

Microsoft Edgeが起動時に保存済みパスワードをすべて平文(暗号化なし)でメモリに展開することが判明し、Microsoftはこの挙動を把握しつつも「設計上の選択」と説明しています。マルウェアによるパスワード窃取リスクを懸念する声が上がっています。

Chromium系ブラウザの中でEdgeだけが確認された挙動

セキュリティ研究者の**@L1v1ng0ffTh3L4N**が2026年5月4日にX(旧Twitter)で公開した調査によると、Microsoft Edgeはブラウザの起動時に保存されているすべての認証情報を復号し、プロセスメモリ上に平文のまま常駐させているとのことです。

研究者は「Edgeは私がテストした中で、このような挙動を示す唯一のChromiumベースブラウザだ」と述べており、「パスワードを保存すると、Edgeは起動時にすべての認証情報を復号し、プロセスメモリに常駐させる。該当サイトに一度もアクセスしていない状態でも同様だ」と説明しています。さらに「攻撃者がターミナルサーバーへの管理者アクセスを取得した場合、ログオン中のすべてのユーザープロセスのメモリにアクセスできる」と警告しています。

EdgeはGoogle ChromeやBrave、Operaと同じChromiumをベースとしていますが、Chromeの場合はパスワードマネージャーやオートフィルメニューでユーザーがパスワードの表示を要求したときにのみ、平文でメモリに読み込む仕様になっています。Edgeはこの点で他のChromiumブラウザと異なる挙動を示しています。

Microsoftの公式見解——設計上の選択との説明

Windows Centralの取材に対し、Microsoftのスポークスパーソンは以下のコメントを発表しています。

「安全性とセキュリティはMicrosoft Edgeの根幹です。報告されたシナリオでブラウザデータにアクセスするには、デバイスがすでに侵害されている必要があります。この領域における設計上の選択は、パフォーマンス・使いやすさ・セキュリティのバランスを考慮したものであり、進化する脅威に対して継続的に見直しています。ブラウザがメモリ内のパスワードデータにアクセスするのは、ユーザーが迅速かつ安全にサインインできるようにするためのアプリケーションの想定された機能です。最新のセキュリティ更新プログラムとウイルス対策ソフトウェアをインストールすることを推奨します。」

この声明からわかるのは、Microsoftがこの挙動を把握しており、問題とは見なしていないという点です。Windows Centralは、起動時に全パスワードを平文でメモリに展開することは、サインインや認証プロセスを高速化するための設計である可能性があると報じています。

マルウェア感染時、Edgeだけは保存済みパスワードがまとめて流出するリスク

Microsoftの説明通り、この挙動を悪用するには攻撃者がまずデバイスへの管理者権限を取得している必要があります。デバイス自体が安全な状態であれば、直接的なリスクは限定的と言えます。

ただし、マルウェアが管理者権限を取得した場合に状況は大きく異なります。Edgeに保存されているすべてのパスワードが、起動時点からすでに平文でメモリ上に並んでいるため、一括で読み取られる可能性があります。他のChromiumブラウザであれば、ユーザーが明示的にパスワードを表示しようとした瞬間にのみ平文がメモリに現れるため、被害の範囲を限定できる設計になっています。Edgeはこの点で、マルウェア感染時の被害が広がりやすい構造と言えます。

現時点でMicrosoftはこの挙動を修正する意向を示しておらず、ユーザーに対してはOSとウイルス対策ソフトウェアを最新の状態に保つよう呼びかけるにとどまっています。

Edgeのパスワードマネージャーに認証情報を保存している場合は、この挙動を念頭に置いたうえで、マルウェア対策を徹底することが現実的な対応策です。Windows Centralは「Microsoftはこの潜在的な問題について、少なくとも今のところは、それほど懸念していないことは明らかだ」と伝えています。

Q&A

Q. EdgeのパスワードはChromeより危険なのですか? マルウェアがデバイスに侵入して管理者権限を取得した場合、Edgeは保存済みのすべてのパスワードが起動時点から平文でメモリに展開されているため、一括で読み取られる可能性があります。Chromeはユーザーがパスワードを表示しようとしたときのみ平文がメモリに現れる仕様のため、同じ条件下では被害範囲が異なります。@L1v1ng0ffTh3L4Nは「Edgeは私がテストした中で、このような挙動を示す唯一のChromiumベースブラウザだ」と述べています。

Q. Microsoftはこの問題を修正する予定はありますか? 現時点では修正の予定は確認されていません。Microsoftは「設計上の選択」と説明しており、ユーザーへの推奨事項はOSとウイルス対策ソフトウェアを最新の状態に保つことにとどまっています。Microsoftの声明には「進化する脅威に対して継続的に見直している」との表現も含まれています。

出典

#Microsoft Edge#セキュリティ#パスワード管理#Chromium
ポストLINEで送るはてブ
GD

GadgetDrop 編集部

スマホ・PC・AI・XRなど幅広いテクノロジーを、スペックの行間まで読む視点で解説します。速報から深掘り分析まで、テック選びと業界理解に役立つ情報をお届けしています。

関連記事
Windows「Phone Link」を狙うトロイの木馬——偽ScreenConnect更新で感染、OTPも危険にさらされる可能性Windows注目

Windows「Phone Link」を狙うトロイの木馬——偽ScreenConnect更新で感染、OTPも危険にさらされる可能性

#Microsoft Phone Link
Defender「Cerdigent」警告は誤検知の可能性——DigiCert証明書不正発行が原因かWindows注目

Defender「Cerdigent」警告は誤検知の可能性——DigiCert証明書不正発行が原因か

#Microsoft Defender
EdgeとChromeはどちらが優れているか——Redditユーザーが語る「ブランドより実用」の選び方Windows注目

EdgeとChromeはどちらが優れているか——Redditユーザーが語る「ブランドより実用」の選び方

#Microsoft Edge
Xbox新CEOが幹部を大刷新——CoreAI・Instacart出身の5名招集、ハードウェア部門トップら2名は離脱Windows注目

Xbox新CEOが幹部を大刷新——CoreAI・Instacart出身の5名招集、ハードウェア部門トップら2名は離脱

#Xbox