Microsoftの“ストーカーAI” 暗号化は鉄壁のはずが、データはダダ漏れ？：878th Lap

MicrosoftのあるAI機能について、セキュリティ研究者は「データそのものではなく、やりとりのプロセスに弱点がある」と指摘した。

[キーマンズネット]

　Microsoftが2024年に発表した新しいPCブランド「Copilot+ PC」は、“AI時代のWindows PC”として大きな注目を集めた。NPU（Neural Processing Unit）を搭載し、クラウドに頼らずPC単体で高度なAI処理を実行できる。特に話題になったのが、ユーザーのPC操作を継続的に記録し、「いつ、何をしていたか」を後から自然言葉で検索できる機能だ。

　便利さの一方で、「そこまで記録して大丈夫なのか」という不安も早い段階から指摘されていた。Microsoftは暗号化や認証の強化など対策を施した上で正式リリースに踏み切ったが、2026年春、その安全性にまた新たな疑問の声が上がり始めた。あるセキュリティ研究者は、この仕組みを「データ自体は厳重に守られているが、やりとりされるプロセスに弱点がある」と指摘した。研究者が指摘した“想定外の抜け道”とは？

　再び問題となっているのは、Copilot+ PC向けWindowsのAI機能の一つ「Recall」だ。ユーザーのPC操作を定期的にスクリーンショットして記録し、OCRによって文字を抽出し画像を解析することで、自然言語による検索を可能にする。処理はクラウドではなくローカルAIで実行されるため、個人情報を含むデータが外部へ流出しにくい点が特徴とされていた。

　だが、正式リリース前に、Recallが収集したデータを十分に保護しないままローカルへ保存する仕様であることが分かった。これにより、セキュリティやプライバシー面への懸念が高まり、Microsoftは機能実装の延期を決定した。当初2024年6月に予定されていた「Windows 11」への搭載は2度も延期され、最終的に2025年4月に正式リリースされた。結果として、約1年をかけて問題点の改善が進められた形となる。

　Microsoftはリリース延期の理由について、Recall関連データの暗号化に加え、利用時にWindows Helloによる認証を必須化したことを挙げている。さらに、金融情報などの機密データを自動的にフィルタリングする仕組みも導入し、保存領域そのものの安全性を大幅に強化したと説明していた。また、Copilot+ PCではRecallをデフォルトで無効化し、安全性への配慮を強調していた。

　ところが2026年4月、前述したようにRecallに再び情報漏えいリスクが存在する可能性が指摘された。発端となったのは、Tech系メディア「ars TECHNICA」が2026年4月16日に公開した記事だ。同記事では、セキュリティ研究者アレクサンダー・ハーゲナ氏が発見した問題について詳しく書かれている。

　ハーゲナ氏によれば、Recallのデータ保管領域自体は堅牢（けんろう）だが、データをやりとりする過程に弱点が存在するという。同氏はこれを「金庫は頑丈だが、現金を運ぶ配送トラックが脆弱（ぜいじゃく）だ」と表現する。

　この問題を検証する過程でハーゲナ氏が使ったのが、「TotalRecall Reloaded」と呼ばれる解析ツールだ。これはRecallの暗号化データそのものを直接解読するものではなく、処理の流れや動作を観察することで情報へのアクセス可能性を検証するためのものだ。

　ハーゲナ氏が指摘するのは、Windows Hello認証後にデータを処理する「AIXHost.exe」プロセスに潜む問題だ。このプロセスではデータが復号された状態で扱われるため、管理者権限がなくてもDLLを注入することで、Recallが扱うスクリーンショットやOCRテキストなどを傍受できる可能性があるとされている。

　記事によれば、ユーザー認証後であれば、Recallがリアルタイムで記録している情報だけでなく、過去の記録データにもアクセス可能だという。さらに、Windows Hello認証前であっても、直近のスクリーンショットを取得できるケースがあると報告されている。

　一方Microsoftは、2026年3月6日にハーゲナ氏から報告を受けた後、4月3日に「これは脆弱性には該当しない」との見解を示した。その理由として、認証時間の制限によって攻撃可能なタイミングが限定されることや、連続試行を防ぐ仕組みが導入されている点を挙げている。つまり、TotalRecall Reloadedによるアクセスは、あくまで想定された権限範囲内での動作だというのがMicrosoft側の見解だ。

　もっとも記事では、Windows Hello認証後のPCに第三者がアクセスできる状況であれば、Recallのデータへ到達できる点を問題視している。Recallのようにユーザー行動を広範囲に記録する機能は、高い利便性を提供する一方で、新たなリスク管理をユーザーや開発者に求める存在でもある。

　さらに記事では、「Signal」や「Brave」「AdGuard」など一部のアプリが、Recallによる情報記録を防ぐ対策を既に実装している点にも触れている。これは、Recallの存在そのものが、アプリ開発者側に追加の情報漏えい対策を迫っている状況とも言えるだろう。

　TotalRecall ReloadedはRecallにとって確かに脅威となり得るものの、直ちに大規模な情報漏えいへ直結するとは限らない。ただ、OSレベルでユーザー行動を継続的に記録する機能が本当に必要なのか。その是非を巡る議論は、今後も続きそうだ。

上司X：　Copilot+ PCのAI機能の一つ「Recall」にまた弱点が見つかった、という話だよ。

ブラックピット：　「TotalRecall Reloaded」ですか。以前に公表された「TotalRecall」の新版と。映画のタイトルみたいですね。狙って名付けたのでしょうけど（笑）。

上司X：　だろうな。Recallうまく引っかけたネーミングは、あのSF映画を覚えている人ならちょっとニヤリとするかもな。

ブラックピット：　それはともかく、Recallは発表時からいろいろと懸念を指摘されているようですよ。

上司X：　リリースを延期して仕様変更したのにな（苦笑）。でも使ってみるとまあまあ便利らしいぞ。ただ、全てのWindows 11で使えるわけではないからなあ。

ブラックピット：　Copilot+ PC専用ですものね。ちなみに僕は未経験です。

上司X：　俺もだ。そしてCopilot+ PC自体が爆発的に売れているとは言い難い状況だ。ローカルAI機能を重視してPCを購入するって個人や企業はまだまだ多くないということだろう。

ブラックピット：　そもそもCopilot+ PCって高額なんですもの。ホイホイとは買えませんよ。Windows 10搭載PCのサポート終了に対応することを優先したら、できれば価格は抑えたいところですね。

上司X：　AI需要の影響もあって、メモリやCPUなんかの部材価格も不安定だし、PC価格も高騰してるしな。俺もRecall機能を使い倒したいのになあ。Copilot+ PCじゃなくてもAI機能を使えるようにする非公式ツールもあるらしいけど、それはちょっと怖いし。もうしばらく我慢かな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。