Malwarebytesは6月6日(米国時間)、「Microsoft Recall snapshots can be easily grabbed with TotalRecall tool|Malwarebytes」において、Microsoft Windows11の新機能「Recall」のスナップショットを取得するツールが開発されたと伝えた。
RecallはMicrosoftが提唱する新しいPCカテゴリー「Copilot+ PC」に搭載されるWindows11の新機能で、ユーザーがPC上で行ったすべての操作や表示された情報をデータベースに保存し、後で確認できるようにする機能とされる。
Recallの問題点
Recallは発表当初から多くのセキュリティ研究者に「セキュリティリスクが高い」と非難されている。中には「悪夢と表現する」研究者もいる。
MicrosoftはRecallの安全性を主張しつつ注意点を次のように述べ、機密情報も収集、表示すると認めている。
Recallはコンテンツのモデレーションを実行しない。そのため、パスワードや金融口座番号などの情報は秘匿されない。特にサイトがパスワード入力のクローキングなどの標準インターネットプロトコルに従っていない場合、そのデータはスナップショットに含まれる可能性がある。
Recallのスナップショット取得
Microsoftはセキュリティリスクの懸念を払拭するために、Recallのデータベースはローカルに保存され、デバイスにアクセスできるユーザーだけが閲覧できると説明している。しかしながら、セキュリティ研究者のAlex Hagenah氏は次のように述べ、デバイスがなくても閲覧できると指摘している。
(Recallの)データーベースは暗号化されていません。すべてプレーンテキストです。
Alex Hagenah氏はRecallのセキュリティリスクを証明するために、デバイス上のRecallデータベース(SQLite)を抽出して表示するツール「GitHub - xaitax/TotalRecall: This tool extracts and displays data from the Recall feature in Windows 11, providing an easy way to access information about your PC's activity snapshots.」をリリースした。
サイバー攻撃の標的に
Recallは今後サイバー攻撃の標的になると予想されている。被害の拡大傾向にある情報窃取マルウェアは、隠れてシステムに侵入し、管理者権限を獲得してあらゆる情報を永続的に窃取する能力がある。そのため、Recallのデータベースおよびスナップショットも被害を免れないとみられ、保存していない、または削除したつもりの機密情報がRecallから流出する可能性がある。