「ゴミ箱」とセキュリティ研究者が酷評　Microsoft Recallの変更の顛末

Recallのデータはアクセスできる

　Recallは発表後、即座にプライバシーの懸念を巻き起こした。さらに悪いことに、セキュリティ上の問題が次々に明らかになっていった。

　発表から2日後の5月22日、英国のデータ保護機関「ICO」（情報コミッショナーオフィス）が、Recallについての問い合わせをMicrosoftに行ったと発表した。

　スナップショットには、当然パスワードなども映っている。ICOはこうした点を重視し、「ユーザーのプライバシー保護のセーフガードを理解するため、マイクロソフトに問い合わせをしている」とBBCに説明している。専門家からは「“プライバシーの悪夢”になりうる」との懸念も出ていた。

　同時にセキュリティ専門家からも危険性を指摘する声が上がり出す。Windowsの脆弱性発見などで知られるKevin Beaumont氏は同じ5月22日、「RecallがWindowsのセキュリティを根本的に損なう仕組み」と題して投稿サイトのMediumに記事を投稿した。

　Beaumont氏によるとRecallのデータの暗号化は不十分だという。近年のマルウェアは、侵入したとたんにブラウザーのパスワードを自動的に盗むように方向転換しているため、これを拡張して情報を盗むことが可能になるだろうと解説した。

　そして6月3日、Recallのデータにアクセスする手法が報告された。データは一般ユーザーのアクセスが制限されている場所にあるが、Googleのゼロデイ脆弱性対応チームの研究者James Forshaw氏が、制限の回避は比較的簡単にできることを発見した。

　Recallのデータは、みるみるうちに“丸裸”になってしまったのだ。そして、実際にRecallを悪用するツールが作られた。