「機密情報はすべて暗号化されます」: マイクロソフトの物議を醸した Windows Recall 機能は…

知っておくべきこと

• Microsoft は、暗号化と Windows Hello 認証によって Recall のセキュリティをどのように強化したかを詳しく説明しました。
• Recall のデータは VBS Enclave に分離されるようになったため、サードパーティのアプリやユーザーはデータを読み取ることができなくなりました。
• スナップショットでは、パスワードやクレジットカードの詳細などの機密情報が自動的に除外されるようになりました。
• Recall はデータをクラウドにアップロードすることはなく、不要な場合はシステムからアンインストールできます。

Microsoftはついに、Windows Recallのアップデートの詳細を発表し、ハッキングや改ざんの容易さを担保し、安全なエクスペリエンスを実現する準備が整いました。Recallのデビュー当初は大きな失敗に終わりましたが、Microsoftは今、Recallがユーザーが安心して使用できる安全なエクスペリエンスであると確信しています。

当初、Windows Recall はデータを暗号化されていない状態で保存していたことが判明し、第三者の攻撃者が Recall プロセスによって収集された機密情報を盗み出すのに適していました。Microsoft は現在、この懸念に対処し、データを暗号化し、ユーザーがアクセスできるようにすることで対応しています。 

同社は、Windows Recall に施すセキュリティ強化のすべてを詳述した記事を公開しましたが、要点は 4 つの主要な変更点に要約されます。

• リコールデータは、VBSエンクレーブを介して暗号化された状態で分離して保存されるようになりました。
• スナップショットはパスワード、クレジットカード、国民IDを自動的に除外するようになりました
• リコールデータへのアクセスには毎回Windows Hello認証が必要です
• リコールはオプションで、デフォルトではオフになっていますが、アンインストールすることもできます。

Recallは依然としてCopilot+ PC専用であり、少なくとも40TOPSのパワーを出力できるNPUが必要です。つまり、ほとんどのPCではRecallを利用できません。利用できるPCについては、MicrosoftはRecallに関する最大の懸念事項、例えばデバイスへのローカルデータ保存方法などに対応しています。

現在、Recall が収集するすべてのデータは暗号化された VBS Enclave に保存されます。これは基本的に、システムの他の部分から分離された安全な仮想マシンであり、ユーザーが Windows Hello で認証するときに Recall アプリが提供する復号化キーがなければ、内部に保存されたデータにアクセスできないことを意味します。

「機密情報は常に暗号化されており、その鍵は完全に保護されています」と、マイクロソフトのエンタープライズおよびOSセキュリティ担当バイスプレジデント、デイビッド・ウェストン氏はWindows Centralの取材に答えて述べた。「Recallの機密性の高いプロセス、つまりスクリーンショット、スクリーンショット処理、ベクターデータベースはすべて、VBS Enclaveに格納されています。基本的にRecallを仮想マシンに統合したので、管理者ユーザーであってもその仮想マシン内で操作したり、コードを実行したり、データを閲覧したりすることはできません。」

この変更だけでもRecallの最大の改良点であり、収集されたデータはデバイスに安全に保存され、ユーザー以外がアクセスできないようになります。Microsoftでさえ、たとえ望んだとしても、RecallによってVBS Enclaveに保存されたデータを見ることはできません。また、Recallは暗号化されたデータへのアクセス試行をレート制限するため、潜在的なマルウェアがRecallアプリ自体を介したブルートフォース攻撃を行うことを阻止します。

もう一つの重要な変更点は、Recall が Windows Hello 経由でデータにアクセスするには、ユーザーが実際にその場にいなければならないようになったことです。つまり、たとえ攻撃者がデバイスに物理的にアクセスできたとしても、ユーザーが PC の前に座っていない限り、Recall のデータにアクセスすることはできません。「Recall のセットアップにはユーザーがいなければなりませんし、暗号化を解除するにもユーザーがいなければなりません。実際、ユーザーの ID こそが [暗号化] キーを解放する鍵なのです。」

ウェストン氏は続ける。「実際の暗号化キーはTPMに保存されており、生体認証による照合によってのみ公開されます。キーはエンクレーブの外部に公開されることはありません。キーはすべてエンクレーブ内で保護されています。スクリーンショット、ベクターデータベースなど、機密情報とみなされるものはすべてそこに保存されており、ユーザーが承認した後、クエリに基づいて少量ずつ外部に公開されるだけです。」

PCへのデータ保存方法のセキュリティ強化に加え、Microsoftはスナップショットプロセスに新機能を追加しました。この機能は、Purviewを使用して、パスワード、国民ID、クレジットカード番号などの機密情報をローカルで自動的にフィルタリングします。そのため、たとえ攻撃者がVBS Enclaveに一時的にアクセスできたとしても、機密情報を見つける可能性は低くなります。

また、スナップショットやそこから収集されたデータはクラウドにアップロードされないことも強調しておきたい。Recallは完全にデバイス上で動作する。これは、5月にRecallが初めて発表された際にMicrosoftが約束したことであり、現在もその約束を守っている。

「この情報は一切どこにも送信していません」とウェストン氏は言う。「たとえ私たちが望んだとしても、マイクロソフトはこのデータを解読することすらできません。私たちが送信するのは、バグ修正のための基本的な診断情報と、ユーザーが管理するフィードバックだけです。」 Recallが収集するデータはデバイスから移動することはなく、簡単にフィルタリングして削除できることを、同社はユーザーに強く伝えたいと考えている。

Recall の最後の大きな変更点は、エクスペリエンス全体が完全にオプションとなり、デフォルトでオフになっていることです。Copilot+ PC のセットアップ時に有効化を促すメッセージが表示されますが、有効化しない場合は Recall サービスはオフのままになります。さらに、Microsoft によると、OS に Recall が存在することに不安がある場合は、システムから削除できるとのことです。

将来的にMicrosoftがRecallを自動有効化しようとするのではないかと心配されているかもしれませんが、Microsoftはそのようなことをするつもりはないようです。ウェストン氏は、「Recallをデフォルトで有効化したり、ユーザーに再度有効化を求める計画は、私の知る限りありません。将来的に計画が変更されないという意味ではありませんが、現時点ではそのような計画はありません」と述べています。

ウェストン氏は、Windows 11 EnterpriseではWindows Recallが実際にはデフォルトでインストールされていないことも確認しました。Recallは企業が選択して組み込むことができるオプションコンポーネントですが、デフォルトではOSイメージに含まれていません。「Enterprise SKUにはRecall用のコンポーネントが全く含まれていません。これはオプションコンポーネントであり、インストールする必要があります。実際には、デフォルトではマシンにインストールされていません。」

企業が社内コンピューターでRecallを利用することを選択した場合でも、ウェストン氏は、雇用主が従業員の勤務時間中の行動を監視するツールとしてRecallを利用することはできないと保証する。「いいえ、雇用主がその情報を見ることはできません。完全に暗号化されており、ログインしたユーザーのみがアクセスできます。」

MicrosoftはWindows Recallの公開テストをまもなく開始する準備を整えており、10月からWindows Insider Programの参加者を対象に、Armベースのプロセッサを搭載したCopilot+ PCでテストを開始する予定です。IntelおよびAMDベースのプロセッサを搭載したCopilot+ PCも、その後まもなくRecallプレビューに参加できるようになります。

もちろん、Recallデータの保存に関するMicrosoftの新しいソリューションが本当にどれほど堅牢なのかはまだ分かりません。数週間後にプレビュー版がリリースされると、サイバーセキュリティ研究者たちがセキュアエンクレーブへの侵入を試みることはほぼ間違いないでしょう。今後の展開を見守るしかありません。

ザック・ボウデンはWindows Centralのシニアエディターで、2016年からこのサイトに携わっています。Windows、Surface、そしてハードウェアの世界を独占的に取材しています。また、希少なMicrosoftのプロトタイプデバイスの熱心なコレクターでもあります。TwitterとThreadsで最新情報をお届けします。