チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「ブラウザに保存したパスワードは暗号化されているはずなのに、メモリで平文展開されるって本当でしょうか?」
「ターミナルサーバーやVDIでEdgeを使っている環境は、何が問題になるのでしょうか?」
チップスボス、社内のターミナルサーバーでみんなEdgeを使ってるんでしゅが、保存パスワードがメモリに平文で残るって聞いて怖いでしゅ。
ボス正確な指摘だな。Edgeは起動と同時に保存パスワードを全て復号してプロセスメモリに展開する設計だ。Microsoftは「仕様」と回答していて修正の予定はない。共有環境では深刻な脅威になる。
本記事では、2026年5月に明らかになったMicrosoft Edgeの平文パスワードRAM展開問題について、リスクの実態と現実的な緩和策を整理します。
3行で分かるニュースのポイント
記事を読み終えると、自社の共有Windows環境でEdgeを使い続けてよいのか、判断基準が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
セキュリティ研究者がEdgeの内部挙動を解析した結果、保存済みパスワードの取り扱いがChromiumベースの他ブラウザと異なる事実が公表されました。
調査によれば、Edgeはユーザーがパスワードマネージャー画面を開かなくても、起動と同時に保存済み資格情報をDPAPIから復号し、プロセスメモリ内の領域に格納します。
セッションが続く限りメモリ上の平文は保持されるため、攻撃者がプロセスメモリにアクセスできれば即時に全件読み出される構造です。
同様にChromium系であるGoogle ChromeはApp-Bound Encryptionなどを採用し、必要に応じて随時復号する設計を取っています。
主要ブラウザの挙動を比較すると以下のとおりです。
| ブラウザ | 保存パスワードの取り扱い |
|---|---|
| Microsoft Edge | 起動時に全件を復号して平文でメモリ常駐 |
| Google Chrome | App-Bound Encryptionで使用時のみ復号 |
| Mozilla Firefox | マスターパスワード設定時はメモリ常駐を回避可能 |
この設計はターミナルサーバーやVDIといった共有Windows環境で特に深刻な意味を持ちます。
ターミナルサーバーでは複数ユーザーが同時にEdgeを起動するため、各セッションごとに平文パスワードがメモリに展開されます。
攻撃者が管理者権限を取得すると、稼働中の全プロセスメモリを読み取る権限まで連動し、切断中セッションを含む全ユーザーの資格情報が一気に漏洩します。
Microsoftは「攻撃者が既に端末を侵害している前提のシナリオであり、設計の範囲内」と回答しています。
ただし共有環境では一人の管理者侵害が全ユーザーの被害につながるため、運用面で次の懸念が残ります。
チップスうちのVDIでもEdgeをデフォルトにしていたので、これは早急に見直さなきゃでしゅ……。
ボスVDIやターミナルサーバーで使うなら、ブラウザのパスワード保存機能をGPOで無効化し、エンタープライズパスワードマネージャーに切り替えるのが現実解だな。出典はDark Readingの解説を当たれ。
Microsoftが現状の挙動を維持する以上、共有Windows環境では運用ルールでリスクを抑える発想が欠かせません。
具体的には、Edgeのパスワード保存機能をグループポリシーで無効化し、企業向けパスワードマネージャーへ集約する手順が有効です。
あわせて、ターミナルサーバーへの管理者アクセスをJIT(Just-In-Time)管理に切り替え、特権セッションの可視化を徹底することで、攻撃者がメモリ読み取り権限を持つ機会そのものを減らせます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
