最近発見された「Vibing.exe」という名前のアプリケーションは、ユーザーのスクリーンとオーディオを密かに記録していることが研究者に発見され、大きなプライバシーとセキュリティの懸念を引き起こしました。
もともとAI生産性インターフェースとしてMicrosoft Storeで利用可能だったこのアプリは、データを秘密裏にリモートサーバーに流出させていることが発見された後、2026年4月下旬に削除されました。
セキュリティアナリストは、このソフトウェアが独立したオープンソースプロジェクトを装うことで、標準的な企業統治プロトコルを回避していたことを明らかにしました。
VibingはWindows起動時に自動的に起動して、継続的な監視を保証します。アクティブになると、アプリケーションは明確な同意プロンプトやアプリ内通知を提供することなく、ユーザーアクティビティを継続的に追跡します。
テキストをコピーするためにシステムクリップボードを積極的にハイジャックします。ユーザーが作業中のデスクトップ環境の定期的なスクリーンショットをキャプチャします。
このソフトウェアは、キャプチャされたスクリーンショットをBase64エンコーディングに変換してからリモートサーバーに送信します。ビジュアルデータと共に、Vibingはデバイスのマイクを起動して生のオーディオを記録します。
その後、このメディアを一意のハードウェアGUIDと共にバンドルし、オペレーターが時間をかけて個別のマシンを追跡およびプロファイリングできるようにします。
標準的なプロキシブロッキングを回避するために、アプリケーションはウィンドウタイトルや特定のホットワードを含む収集された情報をWebSocket接続を通じて送信します。
セキュリティ研究者のKevin Beaumont氏は、このアプリが未知の「Vibing-Team」からのものであると主張していたが、実際にはMicrosoft内で発信されていたことを発見しました。北京のMicrosoft GenAI研究所の研究者Yaoyao Changがこの実行ファイルにデジタル署名しました。
さらに、オープンソースインテリジェンスツールは、アプリケーションのデータがMicrosoft所有のAzureテナントに直接流入していることを確認しました。
Microsoft VibeVoice GitHubページでプロジェクトをコミュニティ構築ツールとしてラベル付けすることにより、開発者はMicrosoftの必須セキュリティ、プライバシー、および人工知能コンプライアンスレビューを回避しました。
関連するGitHubリポジトリには実際のソースコードが含まれておらず、80MBの実行可能バイナリのみが提供されていました。
開発者がGitHub上の疑わしい動作について懸念を提起したとき、リポジトリの所有者は是正措置を講じることなくチケットを閉鎖しました。
コアセキュリティリスク
このアプリケーションは、ネットワーク防御者からの即座の注意が必要ないくつかの深刻なサイバーセキュリティ脅威をもたらします:
- ソフトウェアはエンドユーザーへのリモートデータ送信機能の開示に完全に失敗しています。
- プライバシーポリシーはユーザーがAPIサーバーを構成していると虚偽に述べていますが、実際にはAzureにハードコードされています。
- 一意のハードウェア識別子がすべてのスクリーンショットとキーストロークに添付され、継続的で未開示の追跡が可能になります。
- アプリケーションは適切なデータ管理者ドキュメントまたは透明なデータ保持ポリシーを備えていません。
公の圧力を受けて、Microsoftは2026年4月24日に公式にVibingダウンロードを削除し、関連するバックエンドサービスを無効にしました。
同社は現在、このアプリケーションがセーフティチェックをどのようにして回避したかについて、内部コンプライアンスレビューを実施しています。セキュリティチームは、エンドポイントがまだデータを送信していないことを確認するために、特定の侵害の兆候をネットワークで積極的に監視する必要があります。
脅威ハンターはローカルマシンにvibing.exeまたはVibing Installer.exeが存在するかどうかを検索する必要があります。
さらに、ネットワーク管理者は、特定のAzureエンドポイントvibing-api-ccegdhbrg2d6bsd7.b02.azurefd.netへの発信トラフィックをブロックおよび監視する必要があります。
翻訳元: https://gbhackers.com/suspicious-microsoft-store-app-vibing-exe-allegedly-harvests/
