多くの企業で日常的に利用されているWebブラウザ。その裏側で、従業員のパスワードがどのように管理されているか、正確に把握されているでしょうか。 最近、「Microsoft Edgeが全パスワードをメモリ上に平文(暗号化されていない状態)で保持している」というセキュリティ研究者からの指摘が大きな話題となりました。 驚くべきことに、Microsoft側はこれを脆弱性ではなく「仕様」であると回答しています。さらに注目すべきは、この挙動がGoogle ChromeをはじめとするChromiumベースの他ブラウザでは確認されておらず、Microsoft Edge固有の実装であるという点です。このニュースは、企業のIT担当者やDX推進部門にとって決して対岸の火事ではありません。社内システムのクラウド化が進む中、ブラウザはあらゆる業務の入り口となっています。本記事では、この仕様が企業にもたらす潜在的なリスクを紐解き、DXを安全に推進するために今すぐ講じるべき具体的な対策について解説します。1. Edgeのパスワード平文保持問題の全貌1.1. 研究者による指摘とMicrosoftの回答ノルウェーのセキュリティ研究者でリスクハンターのTom Jøran Sønstebyseter Rønning氏は2026年5月4日、自身のX(旧Twitter)上で、Microsoft Edgeが起動時に保存されたパスワードといった認証情報を平文でメモリ上に展開しており、リスクになり得ることを報告しました。Rønning氏によれば、Edgeは起動時に保存されているすべての認証情報を復号化し、平文としてプロセスメモリに常駐させているとのことです。これは、該当する認証情報を使用するサイトを一度も訪問せずとも発生します。管理者権限でログインしている場合、メモリのダンプを行うことで認証情報を取得できます。通常、パスワードは必要な場面でのみ暗号化が解除されるべきだと考えられがちですが、起動した瞬間からすべての認証情報が平文でメモリ上に存在し続けるという事実は、多くのユーザーに衝撃を与えました。なぜこのような事態が起きているのでしょうか。Microsoft側の見解によれば、これは意図された「仕様」です。ブラウザがWebサイトにパスワードを自動入力するためには、メモリ上で一時的に平文に戻すプロセスが不可欠となります。OS(オペレーティングシステム)の権限管理によって他のプログラムからのアクセスは制限されているため、システムへの管理者権限を持たない限り、このメモリ領域を覗き見ることはできないという論理です。Rønning氏はこの問題をMicrosoftに事前報告しましたが、「設計通り(by design)であり脆弱性ではない」との回答を受け、修正は拒否されました。その後、責任ある開示としてMicrosoftに通知した上で、メモリ上の平文パスワードを抽出する概念実証ツール「EdgeSavedPasswordsDumper」をGitHubで公開しています。例えば、ある国内IT企業のセキュリティ部門では、このニュースを受けて社内PCのメモリダンプ(メモリ内容の抽出)テストを実施しました。その結果、マルウェアに感染し管理者権限を奪取されたという想定のシナリオ下では、実際にブラウザに記憶させていた業務システムのパスワードが平文で読み取れることが確認されています。つまり、OSの保護が突破された瞬間、すべての認証情報が危険にさらされることになります。1.2. Edge固有の挙動——他のChromiumブラウザとの決定的な差この問題を理解する上で重要なのが、同じChromiumをベースとするGoogle Chromeとの設計の違いです。Rønning氏がテストした他のChromiumベースのブラウザでは、必要な認証情報のみをその都度復号化する設計が採用されており、起動時に全パスワードを平文でメモリに展開する挙動はEdgeだけで確認されています。特にGoogle Chromeは「App-Bound Encryption(アプリバインド暗号化)」という仕組みを採用しており、復号鍵が認証済みのChromeプロセスに強く紐付けられています。平文パスワードがメモリ上に現れるのはオートフィル操作時やユーザーが設定画面でパスワードを表示するときのみで、他のプロセスからの窃取を防ぐ設計になっています。EdgeにもパスワードマネージャーのUI上でパスワードを表示する際には再認証を求める機能が存在します。しかし実態は、UIのアクセス制御とは関係なく、プロセス内では起動した段階からすべてのパスワードが常に平文で存在し続けています。UIの設計とメモリ上の実態がかみ合っていない点が、研究者が特に問題視しているところです。なお、2026年6月4日に予定されているMicrosoftのWindows Hello(生体認証・デバイスPINベース)への移行は、UIレイヤーでのアクセス制御の変更にすぎず、メモリ上での平文保存という根本的な問題には対処しないと指摘されています。企業の標準ブラウザとしてEdgeを指定・推奨している場合、この仕様が社内の何千・何万という端末すべてで発生していることを直視する必要があります。Chromiumベースであれば安全という思い込みは、今回の件で見直さなければなりません。1.3. なぜ「仕様」と判断されるのかMicrosoftがこれを脆弱性(バグ)ではなく仕様としている背景には、「Ten Immutable Laws of Security(セキュリティの10の不変の法則)」という業界の基本的な考え方があります。その一つに「悪意のある人物があなたのコンピュータ上でプログラムを実行できるなら、それはもはやあなたのコンピュータではない」というものがあります。つまり、メモリ上の平文パスワードにアクセスするためには、すでに攻撃者がPCのシステム権限(管理者権限)を掌握していることが前提となります。この権限が奪われた状態では、キーロガー(キーボードの入力履歴を盗み取るマルウェア)など他の手段を用いてもパスワードは容易に窃取できるため、メモリ上の暗号化だけを強化しても根本的な解決にはならないという見解です。ただし、Rønning氏が特に問題視しているのは個人PCだけではなく、共有PC・ターミナルサーバー環境です。管理者権限を持つユーザーが侵害された場合、同一ホストにログオンしている他の複数ユーザーの認証情報まで一括して収集できてしまいます。Chromeとの設計差が、こうした環境での被害の広がりに直結します。企業側の視点に立てば「システム権限を奪われたら終わり」で済ませるわけにはいきません。実際に、ランサムウェア攻撃や標的型攻撃によってエンドポイント(従業員のPC)が乗っ取られるインシデントは後を絶ちません。OSの防壁に依存するだけでなく、万が一侵入された後に被害を拡大させない「多層防御」の考え方が、DX推進におけるセキュリティ設計の基本となります。2. 企業におけるセキュリティリスクの実態2.1. エンドポイント侵入時のパスワード漏洩リスク現代のサイバー攻撃は非常に高度化しており、エンドポイントである従業員のPCへの侵入は日常的に発生し得る脅威です。フィッシングメールや悪意のあるWebサイトの閲覧によって、従業員が気付かないうちにマルウェア(特に情報を盗み出すインフォスティーラー)に感染するケースが増加しています。LummaやVidarなどの主要なインフォスティーラーはプロセスメモリのダンプによる認証情報窃取機能を標準で備えており、Edgeのパスワードマネージャーを使用している環境でインフォスティーラーに感染した場合、保存されていた全認証情報が即座に窃取されるリスクがあります。暗号化されていない状態のデータは、解読の手間なく即座に悪用されてしまうため、被害の発生から拡大までのスピードが圧倒的に速いのが特徴です。例えば、海外のインフラ関連企業では、従業員のPCがマルウェアに感染し、ブラウザに保存されていたクラウドインフラの管理者パスワードが窃取される事件が発生しました。その結果、攻撃者に基幹システムへ侵入され、大規模なデータ破壊と身代金要求の被害に遭っています。エンドポイントでのパスワード管理の甘さが、企業全体の存続を揺るがす事態に直結した実例と言えます。2.2. 利便性とセキュリティのトレードオフブラウザの内蔵パスワードマネージャーは、IDとパスワードの入力を自動化し、ユーザーの利便性を劇的に向上させる素晴らしい機能です。複雑なパスワードを覚える必要がなくなり、ログイン時のストレスを軽減できるため、多くの従業員が日常的に利用しています。DXを推進し、業務効率化を図る上では、こうした「使いやすさ」は非常に重要な要素です。しかし、今回のニュースが示す通り、極端な利便性の追求は、目に見えないセキュリティリスクとのトレードオフの上に成り立っています。OSの保護機能に過度に依存した状態は、エンドポイントが侵害された際の防波堤が存在しないことを意味します。利便性を優先するあまり、本質的なデータの保護が疎かになっては本末転倒です。この課題に対処するためには、リスクを正しく評価し、バランスの取れた運用ルールを策定する必要があります。ある国内の中堅商社では、Edgeのパスワード保存機能の利用を原則禁止とする一方で、セキュリティが担保された専用のパスワード管理ツールを全社導入しました。これにより、利便性を損なうことなく、平文保持による漏洩リスクを低減することに成功しています。2.3. シングルサインオン(SSO)導入企業への影響多くの企業では、複数のクラウドサービスへのログインを一本化するため、シングルサインオン(SSO)の導入を進めています。SSOは利便性とセキュリティを両立する強力なソリューションですが、今回のようなブラウザの仕様に対しては注意が必要です。SSOを利用するためのマスターパスワード(IDプロバイダーへのログイン情報)をEdgeに記憶させていた場合、そのパスワードがメモリ上から漏洩すれば、SSOのメリットがそのまま致命的な弱点に反転します。攻撃者はたった一つのマスターパスワードを手に入れるだけで、連携されているすべての社内システムに自由にアクセスできるようになってしまうからです。SSOを導入している国内大手通信企業の事例では、SSOの認証時に生体認証などの多要素認証(MFA)を必須とする設定を徹底しています。これにより、万が一ブラウザからパスワードが漏洩したとしても、手元にあるスマートフォンや指紋などの「二つ目の鍵」がない限りログインできない仕組みを構築しています。パスワードへの依存度を下げることが、SSO環境下での最善の防御策となります。3. DX推進部門が今すぐ実行すべき具体策3.1. Edgeのパスワード保存機能の無効化企業が直ちに取り組むべき第一のステップは、社内標準ブラウザとしてEdgeを使用している場合に、「パスワード自動保存機能」を無効化することです。便利であることは確かですが、今回明らかになったメモリ上での平文保持のリスクを鑑みると、企業が管理する端末においてこの機能の使用を放任することは推奨できません。具体的には、Active Directoryのグループポリシー(GPO)や、モバイルデバイス管理(MDM)ツール、ブラウザのエンタープライズ管理機能を利用して、組織全体で一括して設定をコントロールします。これにより、従業員個人の判断による設定変更を防ぎ、組織として統一されたセキュリティ水準を強制的に適用することが可能になります。設定変更を実施する際は、従業員への事前の周知と丁寧な説明が不可欠です。ある国内サービス業では、単に機能を制限するだけでなく、「なぜこの設定が必要なのか」「万が一パスワードが漏洩した場合、どのような影響があるのか」を社内ポータルで動画を用いて分かりやすく解説しました。その結果、従業員からの反発を最小限に抑え、スムーズな移行を実現しています。3.2. エンタープライズ向けパスワード管理ツールの導入Edgeのパスワード保存機能を無効化した後は、それに代わる安全なパスワード管理の手法を提供しなければなりません。代替手段がないまま制限だけを強化すると、従業員はパスワードを付箋に書いてモニターに貼ったり、Excelファイルに平文で保存したりといった、さらに危険な「シャドーIT」に走るリスクがあります。そこで有効なのが、暗号化技術に優れたエンタープライズ向けのパスワード管理ツールの導入です。これらのツールは、端末のメモリ上でも強固な暗号化を維持したまま処理を行うよう設計されているものが多く、ブラウザ内蔵の機能よりも高い安全性を誇ります。また、管理者側で従業員のパスワード強度の監査や、退職時のアクセス権限の即時剥奪などを一元管理できる点も大きなメリットです。実際の導入プロセスとしては、まず特定の部署(情シス部門やDX推進部門など)でスモールスタートを切り、使い勝手や運用上の課題を洗い出すことをお勧めします。その後、マニュアルの整備やヘルプデスク体制を構築した上で、全社へと展開していく段階的なアプローチが定石です。専用ツールを活用することで、セキュリティと業務効率の向上を同時に達成することができます。3.3. ゼロトラストセキュリティへの移行ステップパスワード管理の強化は非常に重要ですが、それだけでは現代のサイバー脅威を完全に防ぐことはできません。DXを推進する企業が最終的に目指すべきは、「何も信頼しない」ことを前提とするゼロトラストセキュリティの概念に基づいたインフラの再構築です。パスワードが漏洩してもシステムを守るためには、認証の仕組み自体を多層化する必要があります。具体的には、すべてのシステムへのアクセスに対して多要素認証(MFA)を義務付けることや、アクセスしてきている端末が会社支給の安全なデバイスであるかを検証する「デバイス認証」の導入が含まれます。さらに、エンドポイントの異常な挙動を検知して即座に隔離するEDR(Endpoint Detection and Response)の導入も、万が一の侵入に備える重要な一手です。ある国内金融機関では、DX推進と並行して3カ年計画でゼロトラストアーキテクチャへの移行を進めました。当初は従業員から「ログインの手間が増えた」との声もありましたが、SSOと生体認証を組み合わせることで、最終的には従来よりも安全かつスムーズな業務環境を実現しています。単一の対策に頼るのではなく、ネットワーク、端末、ユーザー認証を総合的に見直すことが、持続可能なDXの基盤となります。まとめMicrosoft EdgeがパスワードをBrowseの起動直後からメモリ上に平文で保持しているという事実は、OSのセキュリティを前提とした「仕様」ではあるものの、同じChromiumベースのChromeとは異なるEdge固有の実装であり、企業にとっては見過ごせないリスクを孕んでいます。特に共有PCやターミナルサーバーを活用している環境では、管理者権限の侵害が複数ユーザーの認証情報の一括漏洩に直結するため、早急な対応が求められます。利便性の陰に潜む脅威を正しく認識し、適切な対策を講じることこそが、DX推進部門に求められる役割です。Edgeのパスワード保存機能の無効化、専用管理ツールの導入、そして多要素認証の徹底など、今日から着手できる対策は数多くあります。セキュリティインシデントは企業の信頼を根底から揺るがします。このニュースを社内のセキュリティ体制を再点検する好機と捉え、安全で強固なDX基盤の構築に向けた第一歩を踏み出してください。