Copilot+ PC と Recall ── オンデバイス AI と即時撤退

2024年5月20日、 Microsoft は本社隣の Redmond キャンパスで「Copilot+ PC」 ── NPU 40 TOPS 以上 を必須とする新しい PC カテゴリ ── を発表した。 ハードウェアは Qualcomm の Snapdragon X Elite / X Plus（NPU 45 TOPS）が初代採用。 Surface Laptop 7、 Surface Pro 11、 Dell、 HP、 Lenovo、 Acer、 ASUS、 Samsung から計20機種以上が6月18日に一斉発売された。

その目玉機能の一つが「Recall」 ── ユーザの画面を数秒ごとにスクリーンショットし、 OCR とベクトル化を施してローカルでインデックス化、 自然言語で過去の任意の瞬間を検索できる 機能だった。

そして3日後、 Recall は AI PC 時代の 最大のセキュリティスキャンダル になった。

Copilot+ PC とは何だったか

Microsoft が Copilot+ PC で打ち出したのは、 PC アーキテクチャの再定義だった ── CPU + GPU + NPU の三位一体。

要件：

• NPU: 40 TOPS 以上（INT8 換算）
• RAM: 16GB 以上
• SSD: 256GB 以上
• アーキテクチャ: 初期は Arm（Qualcomm Snapdragon X）、 後に x86（Intel Lunar Lake、 AMD Ryzen AI 300）も対応

これは Apple Silicon（M シリーズの Neural Engine）に対する Microsoft 陣営の応答だった。 Apple は2020年の M1 から CPU・GPU・Neural Engine の一体設計を進めており、 Windows 陣営は4年遅れて追随した形になる。

NPU 40+ TOPS の意義は、 クラウドに依存せずに LLM 推論を端末側で動かす ことを可能にする規模感だった。 Microsoft はこの新カテゴリ向けに、 オンデバイスで動く Phi Silica（約3.3B パラメータ）、 Cocreator（Stable Diffusion 系）、 Live Captions、 Studio Effects などを発表した。

Recall の設計と公開

Recall の動作は単純かつ徹底していた ──

1. アクティブな画面を 5秒ごと にスクリーンショット
2. OCR でテキスト抽出、 画像はマルチモーダルモデルでキャプション化
3. ローカル SQLite データベースにベクトル埋め込みと共に保存
4. ユーザが自然言語で検索 ── 「先週見たアパートの間取り図」 「3日前に Outlook で受信した、 価格が記載されていた請求書」など

機能としては魅力的だった ── ユーザは過去の任意の作業状況を、 アプリ間の境界を越えて検索できる。

しかし、 セキュリティ研究者が実装を見て凍りついた。

Kevin Beaumont の暴露

2024年5月30日、 セキュリティ研究者 Kevin Beaumont（元 Microsoft シニア脅威インテリジェンスアナリスト）が、 自らのブログ DoublePulsar で Recall プレビュー版を分解検証した結果を公開した。

タイトルは挑発的だった ── "Stealing everything you've ever typed or viewed on your own Windows PC is now possible with two lines of code — inside the Copilot+ Recall disaster."

明らかになった事実 ──

1. 暗号化なし: Recall のデータベースは 平文の SQLite ファイル として、 ユーザフォルダ配下に保存されていた。 BitLocker 上での「保管時暗号化」以外、 アプリレベルの暗号化は一切なかった。

2. ユーザ権限で読み取り可能: 同じユーザコンテキストで動くプロセスから、 認証不要でデータベース全体を読み出せた。 Beaumont は実証コード TotalRecall を公開し、 「2行のコードで取得可能」と示した。

3. パスワードもキャプチャ: スクリーンショットには銀行口座のパスワードフィールド入力時の値、 シークレットチャットの内容、 入力中のクレジットカード番号も含まれた。 アプリ側の「入力中マスク」は OCR の前では無意味だった。

4. infostealer の理想標的: マルウェアが既存ユーザ権限で動くだけで、 過去数ヶ月の全活動を一括窃取できる ── ランサムウェアやデータ恐喝攻撃の 最高の標的 となる構造。

英 ICO（情報コミッショナー事務所）も Microsoft に説明を要求、 米国議会の複数議員も懸念を表明した。

即時撤退

公開からわずか 2週間 で、 Microsoft は方針転換を強いられた。

2024年6月7日: Microsoft Windows + Devices 担当 Pavan Davuluri が公式ブログで、 「Recall をデフォルト ON からデフォルト OFF（オプトイン）に変更する」「Windows Hello による生体認証を必須化」「データベースを Just-in-Time 復号方式で暗号化する」と発表。

2024年6月13日: さらに発表 ── Recall は Copilot+ PC 発売（6月18日）に間に合わない。 Windows Insider Program の限定ロールアウトに延期する。 Microsoft の最大の AI 機能が、 Copilot+ PC のローンチ機能ラインアップから抜け落ちた。

2024年8月、 10月: Insider 向けにも複数回延期。 Microsoft 内部での再設計が予想以上に難航していたことを示した。

11月22日の限定再公開

2024年11月22日、 Microsoft は Recall をついに Windows Insider（Dev チャネル）の Snapdragon Copilot+ PC ユーザに限定公開した。

セキュリティ設計の主要変更 ──

1. オプトイン必須: 初回起動時に明示的に有効化する必要がある（デフォルト OFF）。 2. Windows Hello 必須: 起動・閲覧・検索のたびに生体認証（顔・指紋）または PIN が必要。 3. VBS Enclave 内処理: スクリーンショットの OCR・埋め込み生成は VBS（Virtualization-Based Security）エンクレーブ 内で実行。 Hypervisor で保護されたメモリ領域で、 通常のユーザプロセスからはアクセス不可。 4. データベース暗号化: Just-in-Time 復号化を採用。 認証された時点でのみ復号、 平文での永続化なし。 5. 機密情報フィルタ: パスワードフィールド、 クレジットカード番号、 一部のシークレット入力を自動検出してキャプチャから除外。 6. 除外アプリ・URL リスト: ユーザが特定アプリ・ウェブサイトをキャプチャ対象外に指定可能。

Beaumont は2024年12月の再評価で「Microsoft は真剣にセキュリティ強化に取り組んだ」と一定の評価を与えつつ、 「機密情報フィルタは依然として不安定」「Windows Hello が4桁 PIN でも通る点は弱点」と批判を残した。

2025年4月、 Recall は一般提供（GA）に移行。 5月には Intel / AMD ベースの Copilot+ PC にも展開された。

何が示されたか

Recall 事件は、 オンデバイス AI 時代のセキュリティ設計の 教科書的失敗例 として記録される。

1. 「ローカルだから安全」の神話: Microsoft が当初強調したのは「すべてローカルで処理、 クラウドに送られない」だった。 しかしローカル保存されたデータベースは、 マルウェアにとっては クラウドに送る前段の宝の山 だった。

2. 機能優先・セキュリティ後付け: 5月20日のキーノートから5月30日の Beaumont 公開までの10日間で、 設計が事実上崩壊した。 内部レビューでこれらの問題が発見されなかったか、 発見されても出荷を止められなかったか ── どちらも組織問題を示唆した。

3. AI PC の信頼性問題の先例: Apple Intelligence、 Gemini Nano、 Llama on-device など、 各社が進める「常時 AI が画面を見ている」設計に対し、 ユーザ・規制当局が 何を許容するか の境界線を引いた事件となった。

それでも Copilot+ PC 自体は順調に普及した。 NPU 搭載 PC の出荷比率は2024年末で約2割、 2025年末で約半数に達した。 「AI PC」というカテゴリ自体は定着したが、 そのキラー機能だったはずの Recall は、 むしろ 「ユーザが選んで有効化する補助機能」 という地味な位置に収まることになった。

5月20日の華やかな発表と、 11月22日の控えめな再公開 ── この6ヶ月のギャップに、 オンデバイス AI 時代が学んだ最初の教訓が刻まれている。