Microsoftの信頼済みドメインへのリンク一つで、Copilotがデータ窃取ツールへと静かに変貌する可能性があります。Varonis Threat Labsはこの脆弱性を「SearchLeak」と命名して公開しました。この一連の攻撃手法により、攻撃者はたった一度のクリックでメール、MFAコード、会議の詳細情報、プライベートファイルを盗み出せることが明らかになっています。
3段階の脆弱性チェーン
MicrosoftはこのフローにCVE-2026-42824を割り当て、深刻度を最高の「Critical(緊急)」と評価しました。この問題は、一般消費者向けのCopilotではなく、Microsoft 365 Copilot Enterpriseに影響します。
SearchLeakは単一のバグではありません。AI特有の比較的新しい脆弱性クラスと、古典的なWebセキュリティの欠陥2件を組み合わせたものです。1つ目は「Parameter-to-Prompt Injection(パラメータからプロンプトへのインジェクション)」と呼ばれる手法です。残り2つは、HTMLインジェクションの競合状態(レースコンディション)とサーバーサイドリクエストフォージェリ(SSRF)です。それぞれ単独では大きな被害をもたらす可能性は低いですが、連鎖させることで完全な攻撃経路が生まれます。
攻撃の仕組み
第1段階は通常の機能から始まります。Microsoft 365 Copilot Searchは、自然言語検索クエリを指定するためのqパラメータをURLに受け付けます。Varonisはこのパラメータが検索以上の役割を果たすことを発見しました。パラメータに含まれるテキストは、Copilotが従う命令として処理されるのです。
これにより、攻撃者は被害者のメールボックスを検索してその結果を密かに抽出するよう命令するリンクを作成できます。被害者は何も入力する必要がありません。リンクをクリックするだけで、Copilotが残りの処理をすべて行います。
第2段階はタイミングを悪用します。悪意あるHTMLに対するMicrosoftの保護機能は、Copilotの出力をコードブロックで囲み、ブラウザがライブマークアップとしてレンダリングするのを防ぎます。しかし、このラッピング処理はCopilotが完全なレスポンスの生成を終えた後にのみ実行されます。それより前のストリーミングフェーズでは、生のHTMLが一時的にページ上に現れます。
このわずかなタイミングの隙が十分です。ブラウザは埋め込まれた画像タグをレンダリングし、安全なラッパーが適用される前にリクエストを送信します。ガードレールが機能する頃には、データはすでに被害者のブラウザから送り出されています。
第3段階では、攻撃者が残る問題を解決します。Microsoftのドメインに設定された厳格なコンテンツセキュリティポリシー(CSP)により、承認されていないドメインからの画像の読み込みはブロックされます。攻撃者のサーバーへの直接リクエストは通常このルールに引っかかります。しかし、Bingは承認済みリストに含まれています。Varonisは、Bingの逆画像検索機能がURLを受け取り、被害者のブラウザではなくBing自身のサーバーからそのURLを取得することを発見しました。このサーバーサイドフェッチはコンテンツセキュリティポリシーを完全に回避します。結果として、Bingのインフラが知らず知らずのうちに盗まれたデータを攻撃者のもとへ直接運ぶことになります。
攻撃者がアクセスできる情報
Copilot Enterpriseは実行ユーザーと同じ権限を持つため、潜在的な情報漏洩の範囲はその従業員が通常アクセスできる範囲と一致します。被害の影響範囲には、メール、会議の招待状やメモ、SharePointドキュメント、OneDriveファイル、その他のインデックス済みビジネスコンテンツが含まれる可能性があります。組織がMicrosoft 365を他のシステムと連携させている場合、その範囲はさらに広がる可能性があります。
実際の被害としては、メールで送信されるワンタイムパスコード、パスワードリセットリンク、社内財務報告書、機密性の高い会議議題などの漏洩が考えられます。認証のバイパスも、別アカウントへの侵害も必要ありません。被害者に求められる行動はたった一度のクリックだけです。
AIネイティブな脆弱性のパターン
SearchLeakは孤立した事例ではありません。Varonisの研究者たちは以前にも、消費者向けアシスタントであるCopilot Personalに「Reprompt」と呼ばれる関連する脆弱性を公開していました。この脆弱性も同じqパラメータの手法に依存していましたが、企業テナントではなく個人アカウントを標的としていました。MicrosoftはRepromptを2026年1月のセキュリティアップデートで修正し、当時、企業顧客には影響がないと確認していました。
SearchLeakは、同じ根本的な脆弱性がさらに広い範囲に及ぶことを示しています。Enterprise Searchが加わることで、攻撃対象は個人アカウントだけでなく、企業のメールボックスや共有ビジネスファイルにまで拡大しました。
この連鎖で使用された2つの古典的なバグクラスはいずれも新しいものではありません。サーバーサイドリクエストフォージェリとHTMLレンダリングの競合状態は、従来のWebセキュリティ研究において長年にわたって記録されてきました。変化したのは、URLパラメータを命令として解釈しようとするAIシステムの存在です。この一つの要素が、古いバグを全く新しいコンテキストで再び悪用可能にしました。
推奨される対策
Microsoftはすでに根本的な脆弱性にパッチを適用しており、修正を反映するためにお客様側での対応は不要です。それでもVaronisは、継続的な保護のために検討すべき追加の手順を示しています。
セキュリティチームは、エンコードされたHTMLタグや画像の埋め込みを参照する命令を含むものなど、不審なCopilot検索URLを監視する必要があります。コンテンツセキュリティポリシーの許可リストを確認することも有益です。ユーザーが指定したURLに対してサーバーサイドフェッチを実行できるドメインは、将来的に同様のデータ漏洩チャネルになり得ます。また、AIのストリーミング出力を最終段階でのみサニタイズするのではなく、完全にレンダリングされるまで信頼できないものとして扱うことで、SearchLeakが利用したタイミングの隙を塞ぐことができます。
個人ユーザーへのアドバイスはシンプルです。クリックする前にリンクを確認してください。特に、長いまたはエンコードされたクエリ文字列を伴うMicrosoft 365サービスへのリンクには注意が必要です。Copilotが要求していないのにメールやファイルの検索を始めた場合は、すぐに報告することをお勧めします。
AI統合ツールへの教訓
AIアシスタントが企業システムへのアクセスをより深く持つようになるにつれ、SearchLeakのような脆弱性は繰り返し現れるテーマを浮き彫りにしています。単独では低リスクとみなされていた古典的なWebセキュリティのバグクラスが、AIシステムが信頼されていない入力を実行可能な命令として解釈しようとする場合、はるかに危険なものになります。Microsoft 365 Copilot Enterpriseを組織で運用している方は、Varonis Threat LabsのSearchLeakリサーチで詳細な技術解説を直接ご確認いただけます。
翻訳元: https://meterpreter.org/searchleak-copilot-vulnerability/
