Microsoft 365 Copilotに、「SearchLeak」と名付けられた深刻なワンクリック・データ窃取攻撃チェーンの脆弱性が存在することが明らかになりました。AIに固有の脆弱性と従来型のWeb脆弱性を組み合わせることで、企業の機密データが外部に流出するおそれがあります。
Varonis Threat Labsが発見したこの脆弱性はCVE-2026-42824として追跡されており、深刻度は「クリティカル」と評価されています。プロンプトインジェクションとレガシーなセキュリティ上の弱点を連鎖させることで、現代のAI統合機能が意図せず攻撃対象領域を拡大してしまう実態を示す事例です。
この脆弱性はMicrosoft 365 Copilotのエンタープライズ検索機能に影響します。攻撃者は一度のユーザー操作だけで、MFAコード、メール本文、会議データ、SharePointやOneDriveに保存されたファイルといった機密情報を窃取できます。
Microsoft 365 Copilotの脆弱性の詳細
攻撃の中核をなすのは、3段階で構成されるエクスプロイトチェーンです。その起点となるのが、パラメーター・トゥ・プロンプト(P2P)インジェクションの脆弱性です。Microsoft 365 CopilotのエンタープライズSearch機能は、自然言語検索向けのクエリパラメーターをURLで受け付けます。
しかし研究者らは、このパラメーターがCopilotのAIエンジンによって単なる入力としてだけでなく、実行可能な命令としても解釈されることを発見しました。これにより攻撃者は、Copilotに組織内の機密データを取得させる隠しプロンプトを埋め込んだ悪意あるリンクを作成できます。Copilotはログイン済みユーザーの権限で動作するため、権限の低いアカウントであっても、価値ある内部データへのアクセスに悪用される可能性があります。
第2段階では、Copilotのレスポンス描画プロセスにおけるHTMLインジェクションの競合状態を悪用します。Microsoftは悪意のある出力を防ぐため、レスポンスをコードブロックで囲むという緩和策を講じていますが、このサニタイズ処理はAIが出力のストリーミングを開始した後に実行されます。
この短い時間差を利用して、画像タグのような注入されたHTMLが保護適用前にブラウザ上でレンダリングされます。その結果、機密データを埋め込んだ外部リクエストがコンテンツの無効化よりも先にブラウザから送信されてしまいます。このタイミングの欠陥により出力エンコードの保護をすり抜け、気づかれることなくデータが漏えいします。
最終段階では、信頼されたMicrosoftドメインを悪用したサーバーサイドリクエストフォージェリ(SSRF)が用いられます。コンテンツセキュリティポリシー(CSP)の制限により、ブラウザは信頼されていないドメインへのリクエストをブロックします。
しかしMicrosoftのCSPは、Bingの画像検索機能を含むBingサービスを許可しています。攻撃者はこの仕様を悪用し、窃取したデータをBingの画像検索リクエストURLに埋め込みます。
被害者のブラウザが画像を読み込む際、BingのバックエンドサーバーがそのURLを取得し、攻撃者の管理下にあるサーバーへ機密データを知らぬ間に送信してしまいます。この間接的な窃取手法はブラウザレベルの保護をすり抜け、Microsoftのインフラをプロキシとして利用します。
実際の攻撃シナリオでは、被害者がメールやTeams・Slackといったメッセージプラットフォームを通じて、一見正規のMicrosoftリンクに見えるURLを受け取ります。
リンクをクリックすると、Copilotは自動的に注入されたプロンプトを実行し、企業のデータソースを検索して、隠された窃取ペイロードを含むレスポンスを生成します。
その後、追加の操作なしにレンダリング段階でデータが外部に送信されます。リンクが信頼されたMicrosoftドメインを発信元としているため、従来のフィッシング対策やURLフィルタリングでは検出・ブロックができません。
SearchLeakの影響は特にエンタープライズ環境で深刻です。Copilotが組織のデータと深く統合されているからです。攻撃者は、ワンタイムパスワードを含むメールの件名、機密通信、会議アジェンダ、財務報告書や戦略計画といった重要な社内文書にアクセスできます。
この攻撃は被害者のセッション以外に認証を必要としないため、従来のセキュリティアラートを発動させることなく、攻撃者が間接的に企業データへアクセスすることを可能にします。
Microsoftはすでにこの脆弱性にパッチを適用しましたが、SearchLeakはAI駆動システムが抱える広範なセキュリティ課題を浮き彫りにしています。プロンプトインジェクションと競合状態、そしてSSRFを組み合わせることで、AIがいわば「橋渡し役」となり、従来は孤立していた脆弱性を新たな文脈で悪用可能にしてしまう実態を示しています。
この発見は「Reprompt」脆弱性など以前の知見に続くものであり、堅牢な入力検証、リアルタイムの出力サニタイズ、AIによるデータアクセスへの厳格な制御の必要性をあらためて訴えるものです。
組織がCopilotのようなAIアシスタントの導入を進める中、セキュリティチームはAIを介した攻撃経路を考慮してスレットモデルを見直す必要があります。SearchLeakの脆弱性は、たった一度のクリックが生産性ツールを強力なデータ窃取チャネルへと変えてしまう、その典型的な事例といえます。
翻訳元: https://gbhackers.com/microsoft-365-copilot-vulnerability-2/
