Windows 11のSnipping Toolは切り取った脆弱な情報を漏洩させる可能性がある

更新：2023年3月23日午後2時8分（東部標準時）

MicrosoftはSnipping Toolのバグ修正をテストしているようです。TwitterユーザーのXeno氏のツイートによると、この解決策は現時点ではCanary Insiderのみに提供される可能性があるとのことですが、確認はされていません。

知っておくべきこと

• Windows 11 の Snipping Tool には、スクリーンショットから切り取られたデータや詳細を共有できる脆弱性があります。
• 画像から切り取られた情報は、少なくとも部分的に復元できます。
• この脆弱性は、「aCropalypse」と呼ばれるGoogle Pixelスマートフォンのスクリーンショットツールで発見されたものに似ています。

Windows 11のSnipping Toolには、ユーザーがスクリーンショットから切り取ったデータを公開できる脆弱性があります。この問題は、Google Pixelスマートフォンのスクリーンショットツールに存在する脆弱性「aCropalypse」に類似しています。どちらの場合も、画像から切り取られたデータの少なくとも一部を復元することが可能です。

脆弱性の具体的な動作は若干異なりますが、最終的な結果は同じです。元ソフトウェアエンジニアのクリス・ブルーム氏は、Windows 11のSnipping Toolの脆弱性について次のように述べています。

デビッド・ブキャナン氏はこの現象を詳しく調べ、Twitterで洞察を共有した。

この脆弱性は深刻なセキュリティ上の問題を引き起こします。Snipping Tool を使って住所、クレジットカード番号、その他の個人情報を含むページをキャプチャした場合、画像を切り取ればそれらのデータが削除されると考える可能性が高いでしょう。しかし、そのような情報を含む画像が共有されると、個人情報の盗難などの問題につながる可能性があります。

セキュリティ専門家のウィル・ドーマン氏はこの脆弱性を確認し、問題を確認する手順を共有した。

BleepingComputer は、この脆弱性がどのように悪用されるのか、またそれによってどの程度のデータが復元できるのかに関する技術的な詳細を共有しました。

Pixelスマートフォンから情報を復元できるスクリーンショット復元アプリ「aCropalypse」が既に存在します。現時点ではWindows 11のSnipping Toolの画像には対応していませんが、将来的には同様のアプリが登場する可能性があります。Buchannan氏は、Windows 11からファイルを復元できるPythonスクリプトをBleepingComputerに共有しました。

マイクロソフトはBleepingComputerに対し、この問題に関する報告を認識しており、調査中であることを確認した。「これらの報告は認識しており、調査中です。お客様の保護を維持するために、必要に応じて措置を講じます」とマイクロソフトの広報担当者は述べた。

ショーン・エンディコットはWindows Centralのテクノロジージャーナリストで、Windows、Microsoftソフトウェア、AI、PCを専門としています。Windows 10と11からChatGPTのようなAIツールの台頭まで、主要なリリースを取材してきました。ショーンのキャリアはLumia 930から始まり、アプリ開発者との強いつながりを築きました。執筆活動以外では、アメリカンフットボールのコーチも務めており、チームの運営にMicrosoftのサービスを活用しています。ノッティンガム・トレント大学で放送ジャーナリズムを学び、X（@SeanEndicott_）とThreads（@sean_endicott_）で活躍しています。