Windows 11

Windows Recallの金庫、再び破られる──MSは「問題なし」

1年越しの大改修を経て復活したWindows 11の画面記録機能Recallに、新たなセキュリティ上の懸念が浮上している。セキュリティ研究者が公開したツールは、改修済みの防御をすり抜けてデータを丸ごと抜き出せることを実証した。

情報の灯台

2026年4月16日

Microsoft

金庫のドアはチタン製、でも隣の壁は石膏ボード

Windows 11のAI機能「Recall」が再び窮地に立たされている。チューリッヒ在住のセキュリティ研究者アレクサンダー・ハーゲナー（Alexander Hagenah）が、Recallの再設計後の防御を突破するツール「TotalRecall Reloaded」をGitHubで公開した。

Recallとは、数秒ごとにPC画面のスクリーンショットを自動取得し、AIでテキストを認識してローカルに保存する機能だ。2024年5月の発表直後から「インフォスティーラー（情報窃取マルウェア）と何が違うのか」と批判を浴び、Microsoftは約1年かけて全面改修した。

VBS Enclave（仮想化ベースのセキュリティ領域）にデータを格納し、AES-256-GCM暗号化とWindows Hello認証を組み合わせる──これがMicrosoftの回答だった。

ハーゲナー自身も、暗号化の実装とVBS Enclaveの設計は堅牢だと認めている。問題はそこではない。

信頼境界が「早すぎる場所」で終わる

ハーゲナーが着目したのは、Recallのタイムライン表示を担当するAIXHost.exeというプロセスだ。暗号化データはVBS Enclaveの中で復号され、ユーザーに見せるためにAIXHost.exeへ渡される。ここに致命的な設計上の隙間がある。

AIXHost.exeには保護機構が一切ない。PPL（保護プロセス）もAppContainerもコード整合性の検証も欠けている。ログイン中のユーザー権限で動作するあらゆるプロセスが、このプロセスにコードを注入できる。管理者権限もカーネルの悪用も不要。標準ユーザーの権限だけで、古典的なDLLインジェクションが通る。

ハーゲナーはこの状態を端的に表現している。「金庫のドアはチタン製だが、すぐ隣の壁は石膏ボードだ」と。

TotalRecall Reloadedの動作は単純だ。AIXHost.exeに自身のDLLを注入し、ユーザーがWindows Helloで認証するのを待つ。認証が完了した瞬間、復号済みのスクリーンショット、OCRテキスト、メタデータがCOMオブジェクトとしてプロセス内を流れ始める。ツールはそれをそのまま横取りする。ステルスモードでは、ユーザーが通常どおりRecallを開いたように見せかけながら、全データを無期限に抽出し続けることもできる。

つまり、MicrosoftがRecallの再設計で想定した「マルウェアがユーザー認証に便乗してデータを盗む」シナリオそのものを、このツールが再現している。

Microsoftの回答：「仕様どおり」

ハーゲナーは2026年3月6日、ソースコードとビルド手順を含む完全な報告をMicrosoft セキュリティ応答センター（MSRC）に提出した。約1か月の検討を経て、MSRCは4月3日にケースをクローズしている。

結論は「脆弱性に該当せず」。MicrosoftのセキュリティVPデイヴィッド・ウェストン（David Weston）はThe Vergeへの声明で、「確認されたアクセスパターンは、意図された保護と既存のコントロールの範囲内であり、セキュリティ境界のバイパスやデータへの不正アクセスには該当しない」と述べた。認証の有効期間にはタイムアウトと連打防止が設けられており、影響は限定的だという立場だ。

この回答には違和感が残る。Recallが記録するのはスクリーンショットだけではない。メール、メッセージ、閲覧履歴、ドキュメント──画面に映ったあらゆるテキストがOCRで読み取られ、保存される。「意図された保護の範囲内」というフレーズは、標準ユーザー権限でのDLLインジェクションをWindowsの設計として許容している、という意味でもある。

セキュリティ研究者のケヴィン・ボーモント（Kevin Beaumont）も独自にRecallの現行実装を検証し、ユーザープロセスからデータベースを平文で読めることを確認している。しかもデータベースには非公開の追跡フィールドが含まれているという。「ウイルス対策もEDRもアラートを出さない。世界一のインフォスティーラーだ」と評した。

大学が動いた、Microsoftの前に

Microsoftが「問題なし」と結論づける一方で、教育機関はより敏感に反応している。

ペンシルベニア大学の情報セキュリティ部門は2025年4月、Recallについて「容認できないリスクがある」とする通達を出した。管理対象のWindowsデバイスではグループポリシーでRecallを強制無効化し、個人所有のデバイスでも使用しないよう強く勧告している。

大学という環境を考えれば当然かもしれない。学生の研究データ、教員の個人情報、入試関連の機密──Recallが有効なPCが1台でも侵害されれば、画面に表示されたあらゆる情報が流出対象になる。

余談だが、この通達を出したペンシルベニア大学自身が、半年後の2025年10月にサイバー攻撃を受け、120万件超の個人情報が漏洩した可能性がある。Recallへの危機感は正しかったが、守るべき戦線はRecallだけではなかった。

「便利さ」と「安全」の構造的矛盾

ハーゲナーは、Recall自体を否定しているわけではない。「再設計されたRecallは初代から大幅に改善されており、Microsoftは意味のある重要なセキュリティ強化を行った」と明言している。だが同時に、「この複雑さのソフトウェアが、セキュリティの観点から完全に『解決済み』になることはない」とも指摘する。

結局のところ、問題は単純だ。数秒ごとに画面を記録し、すべてをAIで解析し、ユーザーが自然言語で検索できるようにする──この「究極の利便性」を実現するためには、復号されたデータがどこかの時点でプロセスの手に渡らなければならない。金庫の中身は、いつか金庫の外に出る。その瞬間をどう守るかが、この機能の根本的な課題だ。

2026年1月には、Windows Centralが「MicrosoftはRecallを含むAI機能の統合方針を見直し、リブランドも検討している」と報じた。繰り返されるセキュリティ問題とユーザーの拒否反応を前に、「仕様どおり」で押し通せるのかどうか。その判断は、Microsoftではなく市場が下すことになる。

参照元