Copilot+ PCの新機能「Recall」は依然として安全ではない、専門家が警告

画像提供：マイナビニュース

MicrosoftはAIに最適化した新世代のPC「Copilot+ PC」における目玉機能の一つとして「Recall」を発表し、現在はWindows Insiderプログラムでのプレビュー版の公開に向けて準備が進められている。このRecall機能について、The Cyber Expressがこのほど、「Windows Recall Remains Insecure, Researcher Says」において、最新のプレビュービルドでも依然として安全ではないというセキュリティ研究者の声を伝えた。

○Recallは依然としてデモ攻撃ツール「Total Recall」に対して脆弱

Recallを使用すると、ユーザーは古いメッセージや閲覧したWebサイトなど、過去の自身のアクティビティを簡単に見つけて再現できるようになる。この説明だけであれば便利な機能のように思えるが、その実現のため、RecallはユーザーがPC上で行ったすべての操作や表示された情報をデータベースに保存するため、個人情報保護の観点では大きなリスクを抱えてしまう。

Recallに対しては、発表当初よりセキュリティ研究者をはじめとする多くのユーザーからさまざまな欠陥や懸念事項の指摘が寄せられていた。これらの懸念事項を払拭するため、MicrosoftではRecallの仕様を変更し、デフォルトで無効化してユーザーがオプトインを選択した場合のみ使えるようにするなどの対策を発表した。

その上で、当初はCopilot+ PCの発売と同時にプレビュー版をリリースする予定だったが、その計画を延期して、先行してWindows Insiderプログラムを通じてフィードバックを受け取るように方針も変更した。

しかしセキュリティ研究者のKevin Beaumont氏は、Recallは最新のプレビュービルドでも依然として高いセキュリティリスクを抱えたままと指摘している。Recallの発表後、セキュリティ研究者のAlex Hagenah氏は「Total Recall」というプログラムを発表した。これは、RecallがPCに記録するすべての情報を自動的に抽出して表示するという、Recallの危険性を伝えるためのデモ用の攻撃ツールである。

Beaumont氏によれば、最新のRecallは依然としてTotal Recallに対して脆弱なままであり、データベースをエクスポートするためのわずかな調整だけでプレーンテキストとして情報を抽出することが可能だという。さらにBeaumont氏は、MicrosoftがRecallのバグ報告に対して設定した報奨金の金額が、その重要度に対して低すぎるという問題も指摘している。
○Googleも同様の機能を開発中