Windows Recall AI は、Microsoft の機密情報がある場合でも、複雑なクレジットカードの詳細を取得することがあります…

Howero
abmhh
0 comments

Windowsリコール（画像提供：Windows Central）

Windows Recallは、おそらくMicrosoftのこれまでの機能の中で最も物議を醸している機能です。この機能は、Windows 11バージョン24H2の大規模アップデートの一部として、Click To Doや画像生成といった他の主要なAI搭載機能とともに、Copilot+搭載PC向けにのみ提供されました。

しかし、この機能はプライバシーとセキュリティ上の懸念から反発を受けており、マイクロソフトはエクスペリエンスを微調整するためにこの機能を複数回「リコール」しました。Windows Recallは、数秒ごとに画面のスナップショットを撮影し、デバイス上のAIを使用してそのコンテンツを分析・トリアージします。

マイクロソフトは、この機能をオプトイン形式にしたり、Windows Hello を機能へのアクセス要件にしたりといった、強調されたセキュリティ上の懸念に対処するために露骨な試みをしているにもかかわらず、セキュリティ専門家は、物議を醸している Windows 11 の AI 搭載機能をセキュリティ上の失敗であり、ハッカーの楽園だと呼んでいる。

Microsoftは、指摘されたセキュリティ問題のほとんどに対処したようで、先月Copilot+搭載PC向けにプレビュー版をリリースし、最近ではIntelおよびAMD Copilot+搭載PC向けにもリリースしました。物議を醸しているこのAI機能をユーザーにとってより魅力的にするために実装された精巧なセキュリティ対策の一環として、スナップショットから機密情報をフィルタリングする設定が含まれています。この設定は、クレジットカード番号、社会保障番号、その他の重要な金融認証情報などの機密情報を含むアプリやウェブサイトのスナップショットをこの機能が取得できないように設計されています。

Windowsのリコールにはさらに重大なセキュリティ上の懸念が山積

Windows 11 Copilotアイコン — （画像提供：Windows Central）

しかし、Tom's HardwareのAvram Plitch氏による新たなレポートでは、このセキュリティ設定が逆効果になる可能性があることが指摘されています。Windows Recallは、Windowsのメモ帳を使用している際に、クレジットカード番号やランダムなユーザー名とパスワードなど、機密性の高い金融情報を取得しました。設定を有効にしていたにもかかわらず、この機能は機密情報を取得し、数字の隣に「Capital One Visa」などの明らかな文字が含まれていたにもかかわらず、機密情報を取得しました。

プリッチ氏は、このシナリオで使用された機密情報は捏造されたものだと認めたが、実際にクレジットカードを使ったところ、同様の結果が再現した。彼はさらに一歩踏み込み、クレジットカードの種類、番号、有効期限、セキュリティコード（CVC）などのクレジットカード番号の詳細を入力するウェブフォームを含むHTMLページを作成した。

プリッチ氏は、その分かりやすい文言がWindows Recallの検閲を刺激し、自分がまだそのページにいる間にプロセスをブロックまたは停止してくれることを期待していた。しかし、Windows Recallは、彼の複雑な財務情報を含む、セキュリティ上重要なページのスナップショットを撮影した。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

Plitch氏がOimoroniとAdafruitの支払いページにアクセスしていた際、Windows Recallはクレジットカード情報フィールドのスナップショット取得を拒否しました。Plitch氏のテストでは、MicrosoftのWindows Recall機能は現実世界の商取引サイトを識別し、スナップショットから機密性の高い認証情報をフィルタリングできる可能性があるものの、Plitch氏の特定のシナリオでは機密情報を識別・フィルタリングできなかったことが実証されました。

また、Windows Recallはまだベータ版であり、MicrosoftのWindows 11プレビュープログラムでのみ利用可能であることも非常に重要です。そのため、今回のようなバグが発生することは予想されており、Microsoftは一般公開前にテスターからのフィードバックを得て製品を改善したいと考えています。

シニアエディターのZac Bowdenは、プレビュー版がリリースされて以来、Windows Recallを使用していますが、Plitch氏のようにメモ帳に入力しても、Windows Recallでクレジットカード情報を取得できなかったという報告があります。したがって、この問題はRecallの現在のプレビュー版の性質によるものであり、Recallの正式リリース前に解決されることを期待しています。

調査結果についてマイクロソフトにコメントを求めたところ、ユーザーはWindows Recallがスナップショットから機密性の高い金融認証情報をどのようにフィルタリング・検閲するかを説明したブログ記事にリダイレクトされました。その中でマイクロソフトは、プレビュー期間中、Recallが機密情報を適切にフィルタリングしないシナリオが発生することを想定していると示唆しています。

私たちはこの機能を継続的に改善していきます。コンテキスト、言語、または地域に応じてフィルタリングする必要がある機密情報を見つけた場合は、フィードバックハブからお知らせください。

ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。