チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ブラウザに保存したパスワードは暗号化されているはずなのに、メモリで平文展開されるって本当でしょうか?」
「ターミナルサーバーやVDIでEdgeを使っている環境は、何が問題になるのでしょうか?」
チップスボス、社内のターミナルサーバーでみんなEdgeを使ってるんでしゅが、保存パスワードがメモリに平文で残るって聞いて怖いでしゅ。
ボス正確な指摘だな。Edgeは起動と同時に保存パスワードを全て復号してプロセスメモリに展開する設計だ。Microsoftは「仕様」と回答していて修正の予定はない。共有環境では深刻な脅威になる。
本記事では、2026年5月に明らかになったMicrosoft Edgeの平文パスワードRAM展開問題について、リスクの実態と現実的な緩和策を整理します。
3行で分かるニュースのポイント
記事を読み終えると、自社の共有Windows環境でEdgeを使い続けてよいのか、判断基準が手に入ります。
オススメ案件
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
セキュリティ研究者がEdgeの内部挙動を解析した結果、保存済みパスワードの取り扱いがChromiumベースの他ブラウザと異なる事実が公表されました。
調査によれば、Edgeはユーザーがパスワードマネージャー画面を開かなくても、起動と同時に保存済み資格情報をDPAPIから復号し、プロセスメモリ内の領域に格納します。
セッションが続く限りメモリ上の平文は保持されるため、攻撃者がプロセスメモリにアクセスできれば即時に全件読み出される構造です。
同様にChromium系であるGoogle ChromeはApp-Bound Encryptionなどを採用し、必要に応じて随時復号する設計を取っています。
主要ブラウザの挙動を比較すると以下のとおりです。
| ブラウザ | 保存パスワードの取り扱い |
|---|---|
| Microsoft Edge | 起動時に全件を復号して平文でメモリ常駐 |
| Google Chrome | App-Bound Encryptionで使用時のみ復号 |
| Mozilla Firefox | マスターパスワード設定時はメモリ常駐を回避可能 |
この設計はターミナルサーバーやVDIといった共有Windows環境で特に深刻な意味を持ちます。
ターミナルサーバーでは複数ユーザーが同時にEdgeを起動するため、各セッションごとに平文パスワードがメモリに展開されます。
攻撃者が管理者権限を取得すると、稼働中の全プロセスメモリを読み取る権限まで連動し、切断中セッションを含む全ユーザーの資格情報が一気に漏洩します。
Microsoftは「攻撃者が既に端末を侵害している前提のシナリオであり、設計の範囲内」と回答しています。
ただし共有環境では一人の管理者侵害が全ユーザーの被害につながるため、運用面で次の懸念が残ります。
チップスうちのVDIでもEdgeをデフォルトにしていたので、これは早急に見直さなきゃでしゅ……。
ボスVDIやターミナルサーバーで使うなら、ブラウザのパスワード保存機能をGPOで無効化し、エンタープライズパスワードマネージャーに切り替えるのが現実解だな。出典はDark Readingの解説を当たれ。
Microsoftが現状の挙動を維持する以上、共有Windows環境では運用ルールでリスクを抑える発想が欠かせません。
具体的には、Edgeのパスワード保存機能をグループポリシーで無効化し、企業向けパスワードマネージャーへ集約する手順が有効です。
あわせて、ターミナルサーバーへの管理者アクセスをJIT(Just-In-Time)管理に切り替え、特権セッションの可視化を徹底することで、攻撃者がメモリ読み取り権限を持つ機会そのものを減らせます。
オススメ案件
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
