MSのAI新機能「Recall」、早くも悪用ツールが公開に

今回は「MSのAI新機能「Recall」、早くも悪用ツールが公開に」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは、「Windows 11」向けの人工知能(AI)を活用した新機能「Recall」を、以前に見たウェブページやメッセージをあとで見たいと考えるユーザーにとって必須の機能だと宣伝してきた。だがここにきて、この機能が深刻なセキュリティ上の問題をもたらしかねないことを示唆する、新たな情報が浮上した。

 ホワイトハッカーのAlex Hagenah氏が「TotalRecall」と呼ばれるツールを公開し、十分なノウハウと適切なツールがあれば、誰でも「Windows」マシンに保存されたRecallのデータを盗み出し、暗号化されていない状態でターゲットデバイスのデータにアクセスできることを示した。WIREDがこれ以前に報じたHagenah氏の調査に関する記事によれば、同氏がWindowsのRecall機能を分析したところ、Recallは5秒おきにWindowsマシンのスクリーンショットデータを取得し、これを全く暗号化されていない状態でユーザーのコンピューターに保存することがわかったという。

 「TotalRecallは(Recallが取得した)データベースとスクリーンショットをコピーし、そのデータベースを解析して、興味を惹きそうなアーティファクトがないか調査する」と、Hagenah氏はTotalRecallに関する「GitHub」への投稿記事で述べている。その上で、「ユーザーは抽出対象とする日付を指定したり、(RecallのOCR経由で抽出された)特定の文字列を検索したりできる。この一連の作業に高度な技術は必要ない」と語った。

 Microsoftは5月にRecall機能を発表した際、ユーザーがPCで実行した内容を記憶する、AIを活用した新しい機能である点を大いにアピールしていた。RecallはPCのスクリーンショットを5秒ごとに取得し、その情報を検索できるようにする。これには、過去に送信したメッセージや友人とのやりとりはもちろん、1週間前にアクセスしたレシピなども含まれる。Recallはユーザーの時間を節約し、Windows 11の利用体験をはるかに効率的にするものだと、Microsoftは述べていた。

 一方、Hagenah氏が公開したTotalRecallは、ターゲットとされたPC上で動作し、Recallのスナップショットが保存されている場所を自動で特定するように設計されている。保存場所を特定したのち、このツールは、日付単位で期間を設定してデータを分析したり、特定の時点にそのPCで行われた動作を確認したりできる。AIを用いた機能であるRecallはまだリリースされていないため、このツールが実際に悪用されたことはないが、ノウハウを持ったハッカー、さらには家庭内暴力の加害者が、何らかのバージョンのTotalRecallをマシン上でひそかに実行し、機密情報や人とのやり取り、メールの内容などを監視し盗み出したりすることも可能になるおそれがある。

 Microsoftは現時点でコメントの要請に応じていないが、Recallをこのような形で動作させることで生じる可能性があるリスクについて、複数のセキュリティ研究者から、指摘を受けている。また、同社は今後何らかの変更を加えるかどうかを明言していないものの、Recallに関するサポートページでは、Windows上でこの機能を無効にできることを説明している。無効にすれば、あらゆるエクスプロイトを事実上無力化できる。

 さらに、TotalRecallがWindows 11のプレリリース版向けに開発されたものであることにも注意が必要だ。こうしたプレリリース版は最終ビルドと異なる設定になっている場合もある。このケースでも、Microsoftがプレリリース版で提供されていなかったセキュリティ機能をRecallに追加する可能性もある。

 とはいえ、RecallのエクスプロイトがHagenah氏の指摘から示唆されるような大きな懸念事項であるなら、Microsoftが何らかの手を打つために残された時間はわずかになりつつある。Recallは米国時間6月18日にリリースされる予定だからだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Chrome」、最新アップデートで複数の機能強化–安全確認やタブグループなど
IT関連
2023-12-26 12:28
ウクライナ、電力施設狙うサイバー攻撃を阻止–ロシアのハッカー関与か
IT関連
2022-04-15 21:24
ジュニパー、AI型ネットワーク運用管理の拡張を発表–企業向け展開を加速
IT関連
2024-03-03 14:35
RFIDを利用した使い捨て可能な介護用排尿検知センサーC-Letter、介護現場での排尿記録を自動化し自立を支援
IT関連
2022-03-18 14:42
英国などで7万人が電話詐欺の被害に–警察がメッセージで通知
IT関連
2022-11-26 15:14
C++の後継目指すプログラミング言語「Carbon Language」、Googleの技術者が実験的公開。C++は技術的負債で改良が困難と
IT関連
2022-07-21 13:50
Facebook決算、“巣ごもり需要”で過去最高 Appleの規制による“逆風”を予測
企業・業界動向
2021-01-29 17:02
修理サービス業者は顧客データを頻繁に盗み見–カナダの調査で明らかに
IT関連
2022-11-29 08:43
UCカードの案内かたるフィッシングメールに注意 偽の本人確認でクレカ情報など窃取
セキュリティ
2021-01-17 18:30
50匹分の食用コオロギパウダー入りフィナンシェ、Pascoが発売 「配合の限界に挑戦」
くらテク
2021-05-13 23:31
「ウェブの父」バーナーズ・リー氏、ソースコードのNFTを約6億円で売却
IT関連
2021-07-01 02:57
弁護士ドットコム、6領域21ビジネスで事業開発–弁護士法第72条に関する指針公表受け
IT関連
2023-08-03 08:43
Shellの気候計画における柱はEV充電ステーション、バイオ燃料、水素転換、化学物質
EnviroTech
2021-02-20 10:39
共栄火災、社内の問い合わせ対応にAIチャットボットを導入–定型的な照会を削減
IT関連
2023-03-16 07:55