Windows 11のSnipping Toolに脆弱性 編集前の画像データが残留

Bleeping ComputerはWindows 11のSnipping Toolに編集前の画像データが削除されずに残る脆弱性が存在すると伝えた。Google Pixelのスクリーンショット機能に見つかった「acropalypse」と同様の脆弱性とされている。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「Bleeping Computer」は2023年3月21日（現地時間）、スクリーンショットキャプチャーツール「Snipping Tool」に編集前の画像データが削除されることなく一部そのまま残るという脆弱（ぜいじゃく）性が「Windows 11」において存在すると伝えた。

　この脆弱性によって削除したと考えていた個人情報や機密情報がデータとしては存在したままになっており、ある程度の復旧が可能であることから注意が呼びかけられている。

Bleeping ComputerはWindows 11のSnipping Toolに存在する脆弱性について指摘した（出典：Bleeping ComputerのWebサイト）

Windows 11のSnipping Tool　復旧データから情報漏えいのリスク

　Snipping Toolを使えば、画像の切り取りといった加工処理を簡単に実行できる。Bleeping ComputerはPNG画像の切り抜き処理を例に、実際には上書き前の画像データが一部そのまま残っており、残っている画像データをある程度復旧させることが可能だと指摘している。もし切り取りなどの編集によってクレジットカード番号や個人情報といった機密情報を削除していれば、データ漏えいが起こるリスクがある。

　同様の脆弱性は、先日「Google Pixel」のスクリーンショット機能に発見されている。Google PixelのMarkup機能を使って画像の編集を実施した場合、編集前の画像が復旧可能であることが見つかり、先日のセキュリティアップデートで修正対象となった。同脆弱性はCVE-2023-21036として追跡され、通称「acropalypse」と呼ばれている。

　Microsoftはすでに同問題を認識しており調査中だと説明している。今後、同社から公開される情報に注意するとともに、対策が公開された場合は迅速に対処することが求められる。