Windows 11 の Snipping Tool を使用して切り取ったり編集したりした スクリーンショットを共有している場合、プライバシーが危険にさらされる可能性があります。
Windows に組み込まれているスクリーンショット編集ツールも、 「aCropalypse」の一部であるようだ。これは、Google Pixel のマークアップ画像編集ツールで最近発見されたセキュリティ上の欠陥で、切り取られたり編集されたバージョンから元の画像を部分的に復元できる可能性がある。
元の脆弱性は、セキュリティ研究者のサイモン・アーロンズ氏とデビッド・ブキャナン氏によって発見され、2023年1月にGoogleに報告されました。Googleは、2023年3月のセキュリティパッチでPixel 4A、5A、7、7 Pro向けの修正プログラムをリリースしました。
ただし、この脆弱性は発見される 5 年前から存在していたため、過去 5 年以内に共有された切り抜き/編集された画像は、共有先のプラットフォームによっては潜在的に危険にさらされる可能性があります。
9to5Googleに共有されたFAQ ページ(本稿執筆時点ではアクセス不可)によると、この脆弱性は、Markup が編集した画像ファイルを元のファイルを消去せずに元のファイルと同じ場所に保存することに起因するとのことです。編集されたファイルが元のファイルよりも小さい場合、元のファイルの末尾部分が保存場所に残り、その部分はリバースエンジニアリングされたエクスプロイトによって復元可能です。この脆弱性とエクスプロイトの技術的な詳細はBuchanan 氏のブログ で詳しく説明されており、研究者らは影響を受けた Pixel の写真を復元するための デモツールも作成しています。
しかし、この脆弱性をコードに見落としていたのはGoogleチームだけではないようだ。Windows 11のSnipping ToolとWindows 10のSnip & Sketch(Windows 10のSnipping Toolは含まれていない)にも同じ脆弱性があるようだ。ブキャナン氏が指摘するように、これらは全く無関係なコードベースの一部であるにもかかわらずだ。ブキャナン氏は、この脆弱性の修正版をWindows 11でテストし、元の画像の大部分を復元することに成功した。
言うまでもなく、人々は通常、情報や個人情報などを保護するために画像を切り取ったり編集したりすることを考えると、これはあまり良いことではありません。また、Twitter などの一部のプラットフォームでは、画像をアップロードするときにその末尾のデータを削除しますが、Discord など他のプラットフォームでは削除しません (または、2023 年 1 月 17 日のアップデートまでは削除していませんでした)。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
アーロンズ氏は、クレジットカードの番号が黒く塗りつぶされた画像を切り抜き、Discordにアップロードすることで、この脆弱性を実証しました。ダウンロードした画像にこの脆弱性を悪用することで、「黒く塗りつぶされた」番号を含む元の画像の約80%を復元することに成功しました。
Buchanan氏によると、Snipping Tool バージョン11.2302.20.0(現在一般ユーザーには提供されていないが、手動でインストール可能)でこの問題が解決するようだ。しかし、現時点では、内蔵のスクリーンショット編集ツールを信頼するかどうかは定かではない(Appleのマークアップツールに元に戻す機能があることに気づいてからは、これまで信頼していなかったが)。サードパーティ製のツールを使って切り抜く方が賢明だろう。
Sarah Jacobsson Purewal は、Tom's Hardware のシニアエディターとして、周辺機器、ソフトウェア、カスタムビルドなどを担当しています。彼女の記事は、PCWorld、Macworld、TechHive、CNET、Gizmodo、Tom's Guide、PC Gamer、Men's Health、Men's Fitness、SHAPE、Cosmopolitan など、様々なメディアでご覧いただけます。
