Edgeにパスワードを保存しているなら、そのすべてはブラウザを開いた瞬間からRAM(Random Access Memory)上に平文で存在している。ノルウェーのセキュリティ研究者Tom Jøran Sønstebyseter Rønningが2026年4月29日に公開した検証は、Microsoft EdgeがChromium系ブラウザの中で唯一この挙動を実装していることを示した。Microsoftへの報告に対し、この挙動は「意図的な設計」との回答があったと複数メディアが報じている。共有端末やターミナルサーバでは、管理者権限を持つ攻撃者が複数ユーザーの認証情報を同時に収集し得るリスクがある。
Edgeで確認されたRAM上のパスワード保持
ノルウェーのセキュリティ研究者Tom Jøran Sønstebyseter Rønningは2026年5月4日、XでMicrosoft Edgeの挙動を示す動画デモを公開した。デモは、Edgeが起動時に保存済みパスワードを平文でメモリへ展開する様子を示す内容だ。投稿は5,900件のリプライを集め、GBHackers、Cybernews、PCWorld、Neowinが相次いで報じた。Rønningは4月29日、Palo Alto Networks Norwayが主催したBigBiteOfTech conferenceでも同内容を披露している。
「EdgeSavedPasswordsDumper」という概念実証(Proof of Concept:PoC)ツールもGitHubで公開された。ツールは教育目的とされ、Edgeプロセスのメモリ内に保存パスワードが平文で存在することを確認するためのものだ。報道によれば、Edgeはユーザーが特定サイトにログインしているかどうかに関係なく、ブラウザプロセスが動作している間は認証情報を保持する。Microsoftへの報告後、返答は「意図的な設計」だったとRønningは説明している。
ChromeやBraveと異なる復号化のタイミング
Google ChromeやBraveなどのChromium系ブラウザでは、同じ検証でEdgeと同一の挙動は確認されていない。報道では、Chromeは保存パスワードが必要になった時点で一時的に復号化する実装だと説明されている。EdgeもChromiumを基盤にしているが、保存済みパスワードのメモリ展開のタイミングは異なる。共通のブラウザ基盤を使っていても、認証情報の扱いは各ブラウザの設計判断に左右される。
| 項目 | Microsoft Edge | Google Chrome / Brave |
|---|---|---|
| パスワード復号化のタイミング | 起動時に全数を平文でRAMへ読み込む | 必要時に一時的に復号化する |
| 平文保持の範囲 | セッション中に保持されると報告 | 同じ挙動は報告されていない |
| PoCでの確認 | EdgeSavedPasswordsDumperで確認可能 | 同一挙動は確認されていない |
ブラウザの自動入力機能は、保存された認証情報をどこかの時点で復号化しなければ動作しない。必要な瞬間だけ復号化する設計なら、メモリ上に平文が存在する時間は短くなる。一方、起動時に全パスワードを展開して保持する設計では、メモリを読める攻撃者にとって探索対象が広がる。復号化そのものはブラウザに不可欠だが、いつどのメモリに置くかが各ブラウザの設計の差になる。
Edgeはパスワードマネージャーを開く際、個人識別番号(Personal Identification Number:PIN)やWindowsパスワードの再入力を求める。ユーザーインターフェース(UI)上では、保存済みパスワードへのアクセスに追加認証があるように見える。だが報道された挙動では、Edgeプロセスのメモリにはすでに平文パスワードが存在する。表示画面の認証と、プロセス内部のデータ保持は別の防御面として扱う必要がある。
共有サーバで管理者権限がリスクを拡大する
メモリダンプによるパスワード取得には、対象システムへの既存アクセスが必要だ。任意のプロセスメモリを読むには通常、管理者権限やそれに近い権限が求められる。Webサイトを閲覧しただけでパスワードが漏れる種類の攻撃ではなく、攻撃者はシステムへの侵入後にこの手法を活用する。セキュリティコミュニティでは、管理者権限を奪われた時点でシステム全体が危険だという指摘も出ている。
ターミナルサーバやマルチユーザー環境では、管理者権限を持つ攻撃者が実行中の複数ユーザープロセスへアクセスできる。Edgeが各ユーザーの保存パスワードを平文で保持していれば、攻撃者は一台の共有基盤から複数アカウントの認証情報を収集し得る。企業環境では、ブラウザに保存された社内サービス、クラウド管理画面、メール、開発ツールの資格情報が連鎖的に悪用される可能性がある。個人PCよりも、共有環境やリモートデスクトップ基盤で影響が大きくなりやすい。
HackerNewsなどのセキュリティコミュニティでは、管理者権限を得た攻撃者はユーザーになりすましてパスワードを取り出せるという意見が示されている。同時に、Edgeの設計はChromeやBraveと比べて不要に露出面を広げているという批判も出ている。両者は矛盾しない見方だ。攻撃の前提条件は重いが、前提を満たした後の認証情報収集を容易にする設計かどうかは別の評価軸になる。
Edge利用者が今すぐ見直せる防御策
企業でEdgeを標準ブラウザにしている場合、最初に確認すべき対象は共有端末、ターミナルサーバ、リモートデスクトップ環境だ。これらの環境では、単一端末上で複数ユーザーのブラウザプロセスが動作する構成になりやすい。管理者権限の扱い、プロセスメモリへのアクセス制御、端末上の保存パスワード利用ポリシーを点検する必要がある。特に管理者アカウントの共有や常用は、今回の挙動と組み合わさると被害範囲を広げる。
個人ユーザーは、Edge内蔵パスワードマネージャーに保存している資格情報を棚卸しするのが現実的な対策だ。重要度の高い金融、メール、クラウド、開発者アカウントについては、専用パスワードマネージャーへの移行や多要素認証(Multi-Factor Authentication:MFA)の有効化を検討できる。端末を他人と共有している場合、OSアカウントを分け、管理者権限を日常利用しない設定にするべきだ。Edgeを閉じてもバックグラウンドプロセスが残る構成では、ブラウザの常駐設定も確認したい。
Microsoftの回答として報じられた「意図的な設計」は、この挙動が単純な実装ミスとして扱われていないことを示す。理由の詳細は、各報道で確認できる範囲では説明されていない。ユーザーや組織が取れる判断は、ブラウザ内蔵パスワード管理の利便性と、メモリ上に平文が残る時間幅のリスクを分けて評価することだ。今回の報告は、パスワードをどこに保存するかという日常的な選択が、端末侵害後の被害規模に直結することを示している。