Microsoftは先日、AI機能を強化した「Copilot+ PC」を発表し、目玉機能として「Recall」を紹介しました。
Recallは作業中のスクリーンショットを自動的に保存し、いつでも過去の作業に戻ることができるという便利な機能です。スクリーンショットからNPU(ニューラルプロセシングユニット)によって分析されたデータが保存され、ユーザーはスナップショットの履歴を閲覧したり、クエリを使って検索したりできるようになります。
Recallで利用されるデータはBitLockerを使って暗号化され、外部に送信されることはないとMicrosoftは安全性を強調していますが、この機能をプライバシーの悪夢だと批判しているサイバーセキュリティの専門家やユーザーが、多数存在することがわかりました(BleepingComputer)。
BleepingComputerが同機能を伝えたツイートに90以上のコメントが寄せられたものの、それらが全て否定的なものだったとのこと。
英国のデータ保護機関である情報コミッショナー事務局(ICO)も、ユーザーのデータが適切に保護されて、Microsoftによって使用されてないことを確認するために連絡しているそうです。
We expect organisations to be transparent with users about how their data is being used and only process personal data to the extent that it is necessary to achieve a specific purpose. Industry must consider data protection from the outset and rigorously assess and mitigate risks to peoples' rights and freedoms before bringing products to market,
我々は、組織がデータの使用方法について利用者に透明性を保ち、特定の目的を達成するために必要な範囲でのみ個人データを処理することを期待する。産業界は、製品を市場に投入する前に、当初からデータ保護を考慮し、人々の権利と自由に対するリスクを厳格に評価し、軽減しなければならない、
セキュリティとプライバシーに関する具体的な問題点として、Recallがコンテンツのモデレーションを行わない点が指摘されています。パスワード・マネージャー内のパスワードや、銀行のウェブサイトの口座番号、機密契約書や、PCで見ている写真や動画などデスクトップに表示されたものは全て保存されてしまうからです。
PCがセキュリティ侵害を受けた場合、PC上のデータはすでに複合化されているため、BitLockerによる暗号化も役立ちません。攻撃者がRecallのデータベースを盗み、悪用する可能性が懸念されています。
サイバーセキュリティの専門家であるケビン・ボーモント氏は、RecallをWindowsに組み込まれたキーローガーに例えています
If you look at what has happened historically with infostealer malware — malicious software snuck onto PCs — it has pivoted to automatically steal browser passwords stored locally,
PCに忍び込む悪意のあるソフトウェアであるインフォステーラー・マルウェアの歴史的な動きを見てみると、ローカルに保存されたブラウザのパスワードを自動的に盗み出すように変化してIn other words, if a malicious
threat actor gains access to a system, they already steal important databases stored locally. They can just extend this to steal information recorded by Copilot's Recall featureいる。つまり、悪意のある脅威者がシステムにアクセスした場合、ローカルに保存されている重要なデータベースはすでに盗まれている。これを拡張して、CopilotのRecall機能によって記録された情報を盗むことができるのだ。
Recallが利用できるのは、Copilot+ PCの要件をクリアした(今のところ極一部の)PCだけに限定されています。しかし今後Recallが実行可能なPCが増えるにつれて、悪用される可能性が高まっていくことになるのかもしれません。