あるセキュリティ研究者が 2026 年 4 月 29 日に明らかにしたところによると、Microsoft Edge は起動時にプロセス メモリに保存されているすべてのパスワードを復号化し、ユーザーのアクティビティに関係なく、セッション全体にわたってパスワードをクリアテキストで保持します。 BigBiteOfTech で発表されたこの発見は、共有 Windows 環境における資格情報の処理に関して重大な懸念を引き起こします。 Cyber Security News によると、@L1v1ng0ffTh3L4N として知られるこの研究者は、主要な Chromium ベースのブラウザの体系的な分析を実施し、起動時にパスワード保管庫全体を平文メモリに保持していた唯一のブラウザが Edge であることを明らかにしました。
この開示には、ユーザーが自分の Edge ブラウザーが平文の資格情報を保持しているかどうかを確認できる公開検証ツールが含まれていました。 5 月 4 日、研究者の Tom Joran Sonstebyseter Ronning 氏が調査結果のデモビデオを投稿したところ、すぐに 5,900 件の返信がありました。 Microsoftはこの開示に対し、この動作は「仕様」であると述べた。
Edge のパスワード処理は、Google Chrome の実践とは大きく異なります。 Cyber Security News は、Chrome がオンデマンド復号化を採用し、必要な場合にのみ資格情報のロックを解除し、復号化キーを認証されたプロセスにバインドするアプリバインド暗号化を利用していることを強調しました。対照的に、Edge は起動した瞬間から保存されているすべての資格情報を平文にロードするため、潜在的なメモリベースの抽出攻撃にさらされます。
パスワードを公開する前にユーザーに再認証を求めるプロンプトにもかかわらず、メモリ内で同じ資格情報にアクセスできるため、そのようなプロンプトはメモリベースの攻撃に対して無効になります。シニア セキュリティ オペレーション スペシャリストの Angus Holliday 氏は、Microsoft のアプリバインド暗号化は保存データを保護しますが、メモリは保護しないと明言しました。 2026 年 1 月 27 日に更新された Microsoft のポリシー文書には、App-Bound Encryption を無効にすると、未承認のアプリケーションが暗号化キーにアクセスできる可能性があると記載されています。
この脆弱性は、共有環境またはマルチユーザー環境で顕著です。管理者権限を持つ攻撃者は、ログオンしているすべてのユーザー プロセスのメモリを読み取ることができ、複数のユーザーから資格情報が漏洩する可能性があります。公開された概念実証ビデオでは、管理者アカウントが Edge プロセス メモリにアクセスして、保存されている認証情報を他のユーザーから正常に抽出する様子が実証されました。
Microsoft は、Edge のパスワード マネージャーに関する公開ドキュメントでメモリ内認証情報の脆弱性は認識されているものの、そのような攻撃はブラウザの脅威モデルの外にあるものとして分類されていることを認めています。ドキュメントでは、ローカル攻撃やマルウェアが復号されたブラウザストレージにアクセスする可能性があると警告しており、特にEdgeの使用を標準化している組織にとって、Edgeの設計に内在するリスクに対する懸念が高まっている。
最高情報セキュリティ責任者のマイク・ペドリック氏は、一部の組織はセキュリティよりも標準化を優先し、許可される唯一のブラウザとしてEdgeを義務付けていると指摘した。 Cyber Security News は、Microsoft がこの設計問題を修正するまで、Edge を使用して Windows 環境を運用しているセキュリティ チームは、より優れたセキュリティ慣行を備えたブラウザへの移行を検討する必要があるとアドバイスしました。
世界のブラウザ市場では、Edge は 2025 年第 1 四半期時点で 7.018% のシェアを獲得し、Chrome と Safari に次ぐ 3 位にランクされています。ただし、その市場シェアはエンタープライズ環境で大幅に高く、管理対象 Windows デバイスのデフォルトのブラウザーとして Edge が使用されることが多く、特にマーケティングおよび広告分野でデータ処理に関する懸念が生じています。
