Edge、保存済みパスワードをメモリ内に平文保持していると判明：Microsoftは「仕様」と回答

Microsoft Edgeが保存済みパスワードをメモリ内に平文で保持する仕様が判明した。共有端末などで他者の認証情報が抽出される危険性が指摘されている。Microsoftは仕様であると回答したが、侵害時の被害拡大の恐れがある。

[＠IT]

　SANS Technology Institute, Internet Storm Center（以下、ISC）は2026年5月4日（米国時間）、「Microsoft Edge」（以下、Edge）が保存済みパスワードをWebブラウザ起動直後から平文状態でプロセスメモリに保持する問題を報じた。

　研究者トム・ヨーラン・ソンステビセーテル・レンニング氏の調査を受けた内容で、共有端末やターミナルサーバ利用時に認証情報漏出危険が高まる問題として波紋を広げている。

Webブラウザのパスワード管理に波紋　Edgeに潜む認証情報漏出リスク

　トム氏はEdgeを起動した直後に「Windows」のタスクマネジャーからメモリダンプを作成し、「Sysinternals」の「Strings」で内容を確認すると、保存済み認証情報がURL、ID、パスワードの並びで抽出可能だったと説明している。同氏の調査では「comhttps」などの文字列検索で大量の認証情報を一覧化できたと記載されている。ISCはEdgeがパスワード表示時に生体認証を要求する設計を採用しつつ、内部メモリでは平文保持状態だった点に疑問を示した。

　また、トム氏は「GitHub」で教育用途のPoC（概念実証）ツール「EdgeSavedPasswordsDumper」を公開した。説明によれば、Edge 147.0.3912.98以前の版と「.NET Framework 3.5」環境で動作し、管理者権限取得済み端末では他の利用者Edgeプロセスメモリ読み取りを通じた認証情報抽出も可能となる。対象端末内で切断済みユーザーの情報まで読み出せる可能性も指摘された。

　主要な「Chromium」系のWebブラウザ比較結果も示された。「Google Chrome」はCookieなどを保護するセキュリティ機能「App-Bound Encryption」により、認証情報復号鍵を認証済みChromeプロセス側に結び付ける構造を採用している。そのため平文露出範囲もオートフィル実施時やパスワード表示時付近に限定された。対照的に、Edgeでは保存済み認証情報が平文状態で読み出し可能だった。

　Microsoftは研究者側への回答で「仕様による動作」と説明したとされている。修正予定有無は明確化されておらず、ISCは企業端末運用時の危険性に懸念を示している。侵害済み端末内で利用者権限で動作する不正プログラムでも、保存認証情報取得に悪用される恐れがあるため注意が必要だ。セキュリティ担当者はEdge内のパスワード保存運用見直しや権限分離、共有端末管理強化など早急な対策立案が求められる。

　公開されたPoC検証映像において、侵害済み管理者アカウント利用者が、同一サーバに接続中だった複数利用者の認証情報を抽出する流れも示された。クラウド管理画面や業務SaaS認証情報が保存済みだった場合、被害範囲の拡大要因となる可能性もある。Webブラウザ内パスワード保管慣行そのものを見直すことが求められる。