「あなたがPCで見た画面を、AIが全部記録してくれる」——そう聞くと便利に感じるかもしれません。しかし、その記録データが第三者に筒抜けになるリスクがあるとしたら、どうでしょうか。MicrosoftのAI機能「Windows Recall」に、新たなセキュリティ上の懸念が浮上しています。
1年以上の延期を経て復活したRecall、再び暗雲
Windows Recallは2024年に発表されたAI機能で、PCの画面を数秒ごとにスナップショットとして記録し、AIが内容を分析。後から自然な言葉で「あのとき見たあの情報」を検索できる、というものです。
しかし発表直後からサイバーセキュリティの専門家に「セキュリティの悪夢」「ハッカーの楽園」と酷評され、Microsoftは1年以上にわたりリリースを延期。パスワードやクレジットカード番号を自動でフィルタリングする機能や、「VBSエンクレーブ」と呼ばれる仮想化ベースの隔離技術で保護するなど、大幅なセキュリティ強化を施した上で2025年4月に一般提供を開始しました。
ところが、その約1年後に再び問題が指摘されることになります。
「金庫は頑丈、輸送車がザル」— 何が問題なのか
今回の問題を発見したのは、セキュリティ研究者のAlexander Hagenah氏です。同氏はスイス・チューリッヒに拠点を置く金融インフラ企業SIX Groupの幹部でもあり、以前からRecallのデータを簡単に取得できるツール「TotalRecall」の開発者として知られています。
Hagenah氏は今回の問題を端的にこう表現しました。
「金庫は頑丈だ。しかし輸送車がそうではない」(The vault is solid. The delivery truck is not.)
これはどういう意味でしょうか。かみ砕いて説明します。
Windows Recallが保存するデータ自体は、VBSエンクレーブ内で暗号化されており、Windows Hello(顔認証や指紋認証、PIN)で認証しないと開けません。ここが「頑丈な金庫」に当たります。
問題は、ユーザーが認証を済ませた後の流れです。認証が通ると、RecallのデータはAIの処理やUIの表示を担当する「AIXHost.exe」というプロセスに渡されます。しかしこのプロセスには、金庫と同等のセキュリティ保護がかかっていません。AIXHost.exeは「呼び出し元を検証できず」、プロセス内のデータはすべて信頼済みとして扱われるとのことです。
Hagenah氏が公開した新ツール「TotalRecall Reloaded」は、このAIXHost.exeにDLL(動的リンクライブラリ)ファイルを注入し、管理者権限なしでデータにアクセスできてしまいます。しかも、ユーザーが認証する瞬間をバックグラウンドで待ち伏せする仕組みです。
「VBSエンクレーブはWindows Helloなしでは何も復号しない。このツールはそれを回避するわけではない。ユーザー自身に認証させ、そのタイミングに静かに便乗するか、認証を待つだけだ」(Alexander Hagenah氏)
スナップショットやOCR処理されたテキスト、データベースのメタデータの取得、さらにはWindows Hello認証なしでのデータベース全体の削除まで可能だといいます。
Microsoftの回答は「脆弱性ではない」
Hagenah氏は2026年3月6日にMicrosoftのセキュリティ対応センター(MSRC)に完全なソースコードと再現手順を添えて報告しましたが、約1ヶ月後の4月3日、Microsoftはこの問題を正式に「脆弱性ではない」と分類しました。
Microsoftの広報担当者は次のようにコメントしています。
「Alexander Hagenah氏がこの問題を特定し、責任ある形で報告してくださったことに感謝します。慎重な調査の結果、提示されたアクセスパターンは意図された保護および既存の制御と一致しており、セキュリティ境界の回避や不正なデータアクセスには該当しないと判断しました。認証期間にはタイムアウトおよびアンチハンマリング(連続攻撃防止)保護が設けられており、悪意あるクエリの影響を制限しています」
つまりMicrosoftの立場は「設計どおりの動作であり、バグではない」というものです。
大学機関やアプリ開発者にも広がる警戒感
しかし、この見解に納得していない関係者は少なくありません。
独立系セキュリティ研究者のKevin Beaumont氏はMastodonで「ユーザープロセスとしてデータベースを普通に読める」「データベースにはユーザーの活動を追跡するための未公開フィールドが多数含まれている。ウイルス対策やEDRのアラートも一切発動しなかった」とHagenah氏の発見を裏付けています。
教育機関の反応も厳しいものです。ペンシルベニア大学の情報セキュリティ部門は2025年4月14日に警告を発表し、Recallは「重大かつ許容できないセキュリティ・法務・プライバシー上の課題をもたらす」(強調原文ママ)として、管理者にこの機能を無効化するよう要請しました。
アプリ開発者側の動きも注目に値します。暗号化メッセンジャーのSignalは2025年5月、MicrosoftのDRM(デジタル著作権管理)フラグを独自に利用し、Recallによるスクリーンキャプチャを防ぐ回避策を実装しました。Signal開発者のJoshua Lund氏はブログで「Microsoftはアプリ開発者向けの細やかな設定なしにRecallをローンチした。これは我々の選択肢を制限する明らかな欠落だ」と批判し、DRMフラグの利用は「使えるツールの中での最善の選択だった」と述べています。
なお、現時点でRecallを有効化できるPCは全Windows 11搭載機の10%未満にとどまります。40 TOPS(Trillion Operations Per Second / 1秒あたり40兆回)以上の演算能力を持つ専用NPU(ニューラル処理ユニット)チップを搭載した「Copilot+ PC」が必要なためです。
Microsoft内部でも「失敗」評価との報道
2026年1月末、Windows CentralのジャーナリストZac Bowden氏は、Microsoft社内で現行のRecall実装が「失敗(failure)」と評価されていると報じました(Tom’s Guide、Winbuzzer等が追随報道)。同社はRecallのコンセプト自体は維持しつつも、実装の根本的な再設計、さらには「Recall」ブランド名の廃止すら検討しているとされます。Hagenah氏の指摘した問題が修正パッチで対応されない代わりに、Recall自体が大きく形を変える可能性があるわけです。
同時期にMicrosoftは、Notepad・Paint等のWindows 11内蔵アプリへのCopilot機能の押し付けについても「ユーザーからのプッシュバック」を受けて見直しを進めていることが明らかになっています。
まとめ
今回の問題について、編集部は「一般ユーザーが今すぐ被害に遭う可能性は限定的だが、楽観視すべきではない」と考えています。Recallを利用できるPC自体がまだ少ないとはいえ、Copilot+ PCの普及とともにリスクは拡大します。Microsoftが「脆弱性ではない」と判断した以上、当面は修正パッチが提供されない可能性が高く、ユーザー自身で身を守る必要があります。
今できることとして、以下の3点を確認してください。
1. Recallが有効になっていないか確認する
「設定」→「プライバシーとセキュリティ」→「Recall とスナップショット(Recall & snapshots)」から、「スナップショットを保存する」のトグルでオン/オフを切り替えられます。スナップショットの一括削除もこの画面から実行できます。使う予定がなければオフにしておくのが安全です。
2.業務用・機密情報を扱うPCではRecallを無効化する
ペンシルベニア大学の警告にもあるとおり、機密情報を扱う環境でのRecall使用はリスクが大きいです。組織のIT管理者はグループポリシーでの無効化を検討してください。
3.Microsoftの今後のアップデートを注視する
Microsoftが「脆弱性ではない」と判断した今回の件が、今後の方針見直しでどう扱われるかは不透明です。Recallというブランド名自体が消える可能性もあるなか、Windows Updateの内容を定期的に確認し、Recall関連のセキュリティ変更がないかチェックしましょう。
参考:CSO Online、GeekWire、TechSpot、XDA Developers、Neowin、Slashdot、TotalRecall GitHub(Alexander Hagenah)、Penn ISC公式警告、Signal公式ブログ、BleepingComputer(Signal DRM対応)、Windows Central(AI戦略見直し)、Tom’s Guide(Microsoft AI見直し)、Winbuzzer、Microsoft公式サポート(Recall設定)、Microsoft Learn(Copilot+ PC仕様)
