Microsoft Edgeは全パスワードを平文でRAM保持する：同社は「設計通り」と回答するも漏洩リスクが指摘 | XenoSpectrum

TL;DR Edgeは起動時に保存パスワードをRAMに平文で展開。他のChromium系ブラウザは必要時に復号化する。管理者権限を持つ攻撃者による情報収集リスクがある。 Edgeにパスワードを保存しているなら、そのすべてはブラウザを開いた瞬間からRAM（Random Access Memory）上に平文で存在している。ノルウェーのセキュリティ研究者Tom Jøran Sønstebyseter Rønningが2026年4月29日に公開した検証は、Microsoft EdgeがChromium系ブラウザの中で唯一この挙動を実装していることを示した。Microsoftへの報告に対し、この挙動は「意図的な設計」との回答があったと複数メディアが報じている。共有端末やターミナルサーバでは、管理者権限を持つ攻撃者が複数ユーザーの認証情報を同時に収集し得るリスクがある。 01.Edgeで確認されたRA

[oldriver]

権限を取得せずにメモリを読み取る攻撃手法はいろいろあるので機密情報の暗号化には意味がある。仮に手法が知られていなくても多層防御は将来の脅威に備える意味がある。

[twotiger]

Edgeのメモリーにアクセスできるようなマルウェアに侵入されてる時点で、もうどうしようもないから

[Hasen]

バグは夜更け過〜ぎ〜に〜仕様へと変わる〜だ〜ろ〜再現〜ない〜懲〜り〜ない〜

[theta]

Edgeを利用中に休止状態になったら、パスワードが平文でハイバネーションファイルに保存されちゃうってこと？

[dollarss]

実験してる動画を見たが、ローカルPCだとそうでもないが、サーバや仮想マシンだと普通に危険な仕様だわ。

[circled]

そもそもメモリアドレスに好き勝手にアクセス可能な仕組みが仕込まれる前提なら、Edgeとか全然関係ないレベルで詰んでる

[paradisemaker]

都度復号する仕様とのトレードオフはユーザに気づかれないレベルの入力の差ぐらいで、わざわざセキュアじゃない方に倒す判断が本当に信用できないところ

[htmikan]

結局のところ、これが「意図的な設計」ならば、何故他のブラウザより危険な状態にする必要があったのか、一切回答がないのが怖い。

[teramako]

印象は良くないが脆弱性と呼ぶ程でもないかな。// ThunderbirdのIMAPパスワードがDOMInspectorから丸見えだよと報告したことがあるが普通に仕様だとクローズされたことがある

[cl-gaku]

そんな頻繁にアクセスするデータでもなかろうに

[hom_functor]

またこの低質サイトがFUD煽ってる

[TakayukiN627]

設計通りでも、設計がダメなので早く改修して欲しい

[egory_cat]

「復号化」も普通に使う言葉になった

[restroom]

"Microsoft EdgeがChromium系ブラウザの中で唯一この挙動を実装"、ほう。／"攻撃者はシステムへの侵入後にこの手法を活用する。セキュリティコミュニティでは、管理者権限を奪われた時点でシステム全体が危険"、それはそう

[auto_chan]

俺のターンドロー！降臨せよミュトス！お前のクロース・トゥ・ジ・エッヂが入力補完時に効果発動！メモリダンプエクスプロイト！デッキに隠した平文パスワードを強制召喚！次回FANZA死す！ってことか遊戯王しらんけど

[daishi_n]

デバッガがあればメモリ読めるからねえ。一応Windowsはメモリプロテクションで他のプロセスのメモリは読めないようになってるけど、webブラウザのようにマルチプロセスのはどうなってるのか

[yau]

とはいえ、中途半端に見た目だけの暗号化をしたとしても解析されてしまうんでね。レジスタに入るまえの瞬間にはどのみち平文になるわけですし。クラッカーの手間がちょい増えるか増えないかぐらいの違いしかない。

[koseki]

これ端末開けたまま離席したら終わりということ？自プロセスのメモリは読めるんじゃないのかな。パスワードマネージャの認証に意味がなくなってしまう

[ardarim]

バグを仕様と言い張る伝統的なMicrosoftしぐさ。設計通りというのは設計バグでない言い訳にはならないよ

[Cru]

マルウェア侵入とは限らん。GitHub公開されたツールの適用ができる、あるいはプロセスメモリのダンプができる程度のお父さんなら娘のパスワードを奪取できちゃうし、ストーカーな管理者がターミナルサーバーから標的の

[poco_tin]

ストレージに書き出されるとしてもBitLockerで暗号化されてる

[jintrick]

ナイスタイミング！！Tomグッジョブやで。ちょうど今日俺のChromeにもGeminiが降りてきた。早速全部移行するわ。自作拡張がちと面倒くさいけど重い腰が上がりそう。ありがとうTom。PWAがー

[topiyama]

仕様と言い切って責任回避して後にサイレント修正するパターンかな

[koKekkoh]

「セキュリティは多層的に構成する」には反する。けど、物理的にアクセス可能な人を想定して「共有パソコン」だけ注意すればいいのでは？まあ、使う側としてはこういう「丁寧な線引き」を求められるのが面倒だけど。

[rna]

脆弱性とまでは言えないがEdgeのリモートコード実行脆弱性経由で攻撃が成立した場合に被害が大きい上に痕跡がほとんど残らない可能性があり、キーロガー仕込まれたとかに比べてもかなり嫌な状況になってしまう。

[tsu_nyan]

それでも人類はWindowsを使い続けるのであった。めでたしめでたし

[mag4n]

Win11がうんこたれなのでしゃーなし。AIの影響でMS自体がリスクになりそう。

[nguyen-oi]

「設計通り」とかいう無敵の言い訳。ブラウザ起動しただけで全パスがメモリ上で丸裸とか、MSのセキュリティ意識どうなってんの

[crimson_diamond]

RAMを大量に積んで見つかる確率を下げよう（錯乱）