MicrosoftがWindows 11にRecallを導入した際、データプライバシーとデータ保護の専門家たちは衝撃を受けました。なぜでしょうか?Recallは、パスワードやクレジットカード情報といった機密データが含まれていても、画面のスクリーンショットを継続的に撮影し、コンピューターに保存するからです。当時、Recallはまだテスト段階であり、反発が大きかったため、Microsoftはリリースを延期しました。
マイクロソフトはその後、Recallをさらに開発し、約束されていたセキュリティとプライバシー機能をいくつか実装しましたが、依然として一部の人々は納得していません。私たち自身もRecallをテストしましたが、依然として信頼できていません。そして、そう感じているのは私たちだけではありません。The Registerが実施したテストでは、「依然としてクレジットカード情報やパスワードを盗み取ることができ、犯罪者にとっての宝庫となっている」ことが判明しました。
つまり、Microsoftは正反対のことを約束しているが、Recallは適切な条件下ではパスワードやクレジットカード情報を記録し続ける可能性がある。Microsoftは機密データの入力または表示を認識し、そのような場合にはスクリーンショットを阻止するフィルターを統合していたが、The Registerはそのフィルターを回避することができた。
マーク・ハックマン / ファウンドリー
彼らのテストでは、Recallが画面に表示されている口座残高のスクリーンショットも取得していることも判明しました。Recallは銀行口座のログイン情報のみを回避しました。The Registerは、「つまり、攻撃者は私がどの銀行を利用しているか、いくらの預金を持っているかを知ることができ、これらは攻撃に有利な情報ですが、私の認証情報や口座番号は知ることができません」と記しています。
Recallはクレジットカード情報をあるケースでは記録しましたが、別のケースでは記録しませんでした。Recallはパスワードの入力を確実に認識し、記録はしませんでしたが、パスワードを含むファイルのスクリーンショットを作成しました。Recallは画面にパスワードが表示されていることを認識しないため、パスワードを記録してしまう可能性があります。
また、PayPal にログインする際、Recall はユーザー名が記載されたログイン画面をキャプチャしましたが、パスワードはキャプチャしませんでした。
マイクロソフトのリコール対策は依然として失敗する可能性がある
結論としては、Microsoftによる改善と追加にもかかわらず、Windows Recallは機密データを確実に認識し、記録を控えるという点で依然として問題があるということです。The Registerによると、Recallによる機密情報のフィルタリングは「優れているが、十分ではない」とのことです。
ただし、Windows Recall はスクリーンショットを暗号化して保存するため、第三者が閲覧するのは容易ではありません。それでも、機密データの漏洩の可能性を避けたい場合は、Windows Recall を無効にしてリスクを完全に回避することをお勧めします。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者:ハンス・クリスチャン・ディルシェル、PC-WELT編集長
ハンス=クリスチャン・ディルシャールは、Autoexec.batとconfig.sys、Turbo-PascalとC、SinixとWordperfectからITキャリアをスタートしました。彼は約25年間、ニュースからレビュー、購入ガイドまで、ほぼあらゆるITトピックについて執筆活動を行っています。
