マイクロソフトのCEO、サティア・ナデラは、コンピューターデスクトップの履歴を保存し、AI分析に利用できる新機能「リコール」を「パソコンの写真記憶力」と称賛。しかし、サイバーセキュリティコミュニティでは、「ハッカーの夢」および最近の最悪な製品アイデアの一つとして批判されている。

Sicherheitslücken in der Recall-Funktion entdeckt

安全研究者、Recallの残存セキュリティ対策が簡単に回避可能であることを発表

フォーショーは、方法の1つとして、制限付きデータベースにアクセスできるWindowsマシン上のプログラムAIXHost.exeを一時的に模倣することを挙げた。より簡単な方法は、対象デバイスのアクセス制御リストを書き換え、データベース全体へのアクセス権を得ることを含む。

Reaktionen und Konsequenzen

アレックス・ハーゲナ、サイバーセキュリティ戦略家はメソッドの簡単さに驚いた。ハーゲナは最近、TotalRecallと呼ばれる概念実証ツールを開発し、攻撃者がどのようにリコールデータを抽出できるかを示した。しかし、これまで彼のツールは機能するために管理者権限を必要としていた。Forshawのメソッドを使用することで、もはやそれは必要ない。

これらの暴露は、リコールが本質的にユーザーのデバイスにプリインストールされたスパイウェアとして機能し、ハッカーに簡単に悪用される可能性があるという懸念を強めています。サイバーセキュリティ会社Immunityの創設者であるデイブ・アイテルは、「デバイスを一瞬でも侵害された場合、誰でもあなたのすべての履歴を閲覧できるので、あなたのセキュリティは非常に脆弱になります」と強調しました。

Microsofts Antwort bleibt aus

以下を見出しとして日本語に翻訳してください：
Bisher wurde Recall in Vorschauversionen getestet, bevor es später in diesem Monat offiziell eingeführt werden soll. Microsoft plant, die Funktion auf kompatiblen Copilot+ PCs standardmäßig zu aktivieren. Trotz Anfragen hat Microsoft bisher nicht auf die Erkenntnisse von Forshaw reagiert.

今月後半に公式に導入される前に、Recallはプレビュー版でテストされました。Microsoftは、互換性のあるCopilot+ PCでこの機能を標準で有効にする予定です。要請にもかかわらず、MicrosoftはForshawの発見に対してまだ反応していません。

ジェイク・ウィリアムズ氏、元NSAハッカーで現在はハンター・ストラテジーのサイバーセキュリティコンサルティングの研究開発担当副社長、強い懸念を表明：「これは企業のセキュリティの観点から見て、最も恐ろしいケースの一つだ。」マイクロソフトのサイバーセキュリティチームによる適切な審査なしに、この機能が市場に投入されたことを非難した。

これらの最新の暴露は、新技術の導入に伴う潜在的なリスクと、それに伴う慎重な安全性のレビューの必要性に、さらに光を当てている。