- Varonisが「SearchLeak」を発見——Microsoft 365 Copilotの3つの脆弱性を連鎖させ、ワンクリックでのデータ窃取を可能にする手法
- プロンプトインジェクション、HTMLレースコンディション、BingのSSRFを悪用し、受信トレイ・OneDrive・SharePointのデータを外部へ流出
- Microsoftは今月初め、CVE‑2026‑42824としてパッチを適用——深刻度は最高評価の10/10
Microsoft 365 Copilotをワンクリックのデータ窃取ツールに変えてしまう手法が明らかになりました。受信トレイ、OneDrive、SharePointから機密情報を外部へ流出させることが可能です。
この手法はセキュリティ研究機関のVaronisが開発したもので、「SearchLeak」と命名されています。3つの脆弱性を連鎖させることで成立する攻撃であることが解説されており、Microsoftはすでにパッチを適用しています。
それぞれの脆弱性は単独ではほとんど害をなしませんが、組み合わせることでパッチが必要なほどの脅威になります。
流出の中継器として悪用
連鎖させる3つの脆弱性は、パラメーターからプロンプトへのインジェクション、HTMLレンダリングのレースコンディション、そしてBingのサーバーサイドリクエストフォージェリ(SSRF)を利用したコンテンツセキュリティポリシー(CSP)バイパスです。
攻撃は、被害者が細工されたMicrosoft 365 Copilot Enterprise Searchのリンクをクリックするところから始まります。URLの検索クエリパラメーターに隠された命令が仕込まれており、被害者のメール・OneDriveファイル・SharePointドキュメント・カレンダーデータを検索し、その結果を画像URLに埋め込むようCopilotに指示します。
Copilotが応答を生成する際、レースコンディションによってMicrosoftのサニタイズ処理が完了する前に攻撃者が制御するHTMLが一瞬レンダリングされます。これにより、窃取したデータを含む画像タグが実行されます。
最終的に、その画像リクエストはBingの「Search by Image」機能を経由してルーティングされます。SSRFの脆弱性により、Bingは被害者の代わりに攻撃者が制御するURLへアクセスし、コンテンツセキュリティポリシーの保護を回避します。URLに埋め込まれた機密データは攻撃者のサーバーへ送信され、Webリクエストのログから内容を取り出すことができます。
「Bingが知らぬ間にデータ流出の中継器にされてしまいます」と研究者たちは説明しています。「CSPの許可リストに堂々と潜む、典型的なSSRFです。」
Varonisによると、被害者側には通常のCopilot検索セッションに見えるため、攻撃に気づくことはありません。また、AIの登場によって、SSRFやHTMLインジェクションのレースコンディションといった従来は比較的対処しやすかった脆弱性が、強力な攻撃手段に変貌しつつあると同社は強調しています。
Microsoftは今月初めにこの脆弱性にパッチを適用し、深刻度の最高評価(10/10 Critical)を付与した上で、CVE-2026-42824として管理しています。
