ダメじゃん。
Gadget Gate にCopilot+ PC上の全てを記録する「Recall」、セキュリティ上の大惨事を引き起こす?という記事が。
Copilot+ PC に搭載される Recall が暴露ウィルスみたいだなぁって思ってましたが、
やっぱダメじゃん。って事に。
マイクロソフトはPC上で見たもの・行ったこと全てを探せる新機能「Recall」を世に送り出そうとしている。
Copilot+ PC の高性能を見せつける為に搭載した Recall
発表になった時に数秒おきにスクリーンショット取って保存?
それって、暴露ウィルスと同じことじゃないのか?って思ったり。
2000 年前後に流行した暴露ウィルスを知らない人はこの機能はありがたがるんだろうか?って感じたりもしたんですよね。
サイバーセキュリティ専門家のKevin Beaumont氏は、本機能に潜在的なセキュリティ上の欠陥があると報告。同氏はランサムウェア「WannaCry」などを警告したことがあり、マイクロソフトの「Threat Protection」部門で働いていた時期もある。
セキュリティ専門家で、過去にマイクロソフトに勤務したことが有る人が警告って、
それは結構深刻なんじゃないかと思うのですが。
Recallは数秒ごとにスクリーンショットを撮影、これをオンデバイスのAzure AIが自動的にOCR(文字認識)してプレーンテキストに変換。それを暗号化せず、ユーザーフォルダ内のSQLiteデータベースに書き込むという仕組みだ。
やってることは最新のテクノロジーじゃなくて、
昔からあるものを組み合わせている用に見えますね。
AI だ。って言っても内臓の Azure AI が画像を OCR 変換してるだけ。
OCR 変換でテキスト文字列に変換って 1990 年代には実現され(^_^;)
ただ、数秒ごとにスクリーンショットが撮られるのでそれを捌くために
ハイスペックな Snapdragon X が必要なだけですよね。
その上書き込み先は、SQLite データベース。
名前を Recall なんて言ってますが、単なる OCR テキスト変換ツールじゃないの(^_^;)
その上、仕様が「単純文字列化・非暗号化・オープンソースデータベースへ保存」
それは開発途中の動作確認とかですか?ってレベルに感じるのですが。
PCの管理者であればAppDataフォルダからアクセスできる
保存場所ここで、SQLite のデータ抜いたら全部見えるって事ですよね。
これで Copilot+ PC でございます。 Recall 凄いよ。って言ってるんですか?
マイクロソフト自身、「Recallはコンテンツモデレーションを実行しないことに注意されたい。パスワードや金融口座番号などの情報は隠されない」とも認めている。
だから、これ暴露ウィルスと同じじゃないですか。
ブラウザとかが苦心してパスワードとか金融口座番号とかを漏らさないように作り込んでるのに、
OS 側で「はい。全部見せますよ」っていうのはどうなんだ?って感じですねぇ。
マイクロソフトのサティア・ナデラCEOは「場合によっては、新機能のリリースやレガシーシステムのサポート継続等よりも、セキュリティを優先することになる」と社内で述べたと報じられていた。Recallが急きょ提供を中止する、あるいはCopilot+PCの発売初日に緊急アップデートを配信する可能性もあり得そうだ。
これはそもそも実装してはいけない機能じゃないですかね?
Copilot+ PC 使ってデフォルトで Recall が ON になっている。
その後、外部に漏れてはいけない情報が簡単に外部に漏れてた。
という未来しか見えない気がするのは私だけですかね。
コメント