先月、マイクロソフトは盛大なファンファーレとともに、 Copilot+ PCの新製品、AIを活用した特徴的な機能を備えた マイクロソフトのリコールこの機能は世界中の何億人もの顧客の生活を楽にすることを意図している。しかし同社は、この製品のデータ収集方法や、 ハッカーの創意工夫 倫理的であるか否かに関わらず、セキュリティ専門家。
その結果、この機能とそのリスクについて批判が殺到した。リリース前にこの機能を有効にしたセキュリティ専門家らは、その設計について詳細な批評をまとめ、ケビン・ボーモントは次のように述べた。 おそらく最も残酷な評価:
興味深いと思う 完全に、本当に ニッチな初期ユーザー ベース向けのオプション機能であり、非常に慎重なコミュニケーション、サイバー セキュリティ、エンジニアリング、実装が必要です。Copilot+ Recall にはこれらがありません。明らかに、これらをパッケージ化する作業が適切に行われていません。
[…]
おそらく、この実装と展開があまりにも不十分だったため、彼らは Copilot ブランド全体に火をつけることになるだろうと思います。これは、AI の名の下に Microsoft が自らを傷つける行為であり、結果として実際の顧客に損害を与えることになります。
どうやらこの批判はマイクロソフトで5つの警報を発動させたようで、同社は現在、この機能に大幅な変更を加えると発表している。 「Copilot+ PC の Recall プレビュー機能のアップデート」 Windows + デバイス部門を統括するマイクロソフトのコーポレート副社長パヴァン・ダヴルリ氏は、この批判を認めた。「[W]Copilot+ PC で Recall を有効にしてプライバシーとセキュリティの保護を強化することをユーザーが簡単に選択できるようにできるという明確なシグナルが聞こえてきました。それを念頭に、6 月 18 日に Recall (プレビュー) がお客様に出荷される前に有効になる更新を発表します。」
ブログ投稿によると、この機能のリリースバージョンでは次の変更が実装される予定です。
- Copilot+ PC のセットアップ エクスペリエンスでは、「Recall を使用してスナップショットを保存するかどうかのより明確な選択肢」が提供されます。この機能はデフォルトではオフになっており、ユーザーが有効にすることを選択した場合にのみ有効になります。(以前の投稿で、私はこれを重要な変更として提案しました。)
- この機能を有効にするには、通常は生体認証によるユーザーの身元の安全な証明を伴う Windows Hello への登録が必要になります。さらに、Microsoft によると、リコールのタイムラインを表示し、その内容を検索するには「存在の証明」も必要になります。
- データベース自体については、マイクロソフトによれば「ジャストインタイム」復号化を含む追加のデータ保護層が備わり、 Windows Hello 拡張サインインセキュリティ (ESS)検索インデックスデータベースも暗号化されます。
この最後の変更はおそらく最も興味深いもので、セキュリティ研究者が警告してきたより悲惨なシナリオのいくつかを防ぐはずです。「ジャストインタイム」復号化機能とは、Recall スナップショットが Windows Hello 拡張サインイン セキュリティ (ESS) を使用した 2 番目の暗号化層によって保護されることを意味します。攻撃者がユーザーのデータベースにアクセスできたとしても、Windows Hello でそのユーザーに対して有効になっているデバイスで安全な認証を提供できない限り、データベースの内容を復号化してアクセスすることはできません。
これは進行中の話です。詳細が分かり次第更新します。