Edgeは全パスワードをメモリ上に平文保持。研究者の指摘にMicrosoftは「仕様」

　ノルウェイのセキュリティ研究者およびリスクハンターのTom Jøran Sønstebyseter Rønning氏は5月4日、自身のX(旧Twitter)上で、Microsoft Edgeが起動時に保存したサイトのパスワードといった認証情報を平文でメモリ上に展開しており、リスクになり得ることを報告した。

　Rønning氏によれば、Edgeは起動時に保存されているすべての認証情報を復号化しており、平文としてプロセスメモリに常駐させているという。これは該当する認証情報を使用するサイトを一度も訪問せずとも発生する。管理者権限でログインしている場合、メモリのダンプを行なうことで認証情報を取得できる。

　Edgeではサイトで認証情報の入力を必要とする際に、パスワードマネージャーにより統一のパスワードで再認証が要求される。しかし、プロセス自体はすでに平文として認証情報を保持している。同氏がテストしたほかのChromiumベースのブラウザでは、必要な認証情報のみ復号化されるため、Edgeだけの挙動だという。

　同氏はこの問題をMicrosoftに報告したが、この挙動は「設計通りである」と回答されたという。その後、責任ある開示として共有するつもりがあるとMicrosoftに伝え、メモリに平文で保存されているパスワードを抽出するためのコンセプトレベルのソフト「EdgeSavedPasswordsDumper」をGitHubで公開した。

　なお、Rønning氏自身も述べているが、これは「エクスプロイト」には該当しない。メモリのダンプを行なうためには管理者の権限が必要なうえに、いずれ復号化したパスワードをメモリに保持する必要があるからだ。

　同氏が問題視しているのは、「起動直後に使われていないすべてのパスワードを復号化してメモリ上に保持している」点だ。管理者権限を持つユーザーがほかのログイン済みの2つのアカウントに保存された認証情報を閲覧できたため、1つのPCを共有で使っている場合など、管理者権限が侵害されるとリスクが高まる。そのためほかのブラウザと同様、必要時にのみ復号化する実装をすべきだとしている。

Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them.pic.twitter.com/ci0ZLEYFLB

— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N)May 4, 2026