eSecurity Planetのコンテンツおよび製品に関する推薦は、編集部として独立した立場で行っています。パートナーへのリンクをクリックした場合、収益が発生することがあります。 詳細はこちら
Microsoft 365 Copilot Enterpriseに存在する脆弱性の連鎖により、攻撃者は悪意のあるリンクを一度クリックするだけで、機密の企業データを窃取できた可能性があることが明らかになりました。
Varonisの研究者が発見したSearchLeakは、Microsoft 365 Copilotの検索機能を悪用し、アカウントを侵害したり管理者権限を取得したりすることなく、メール、会議情報、セキュリティコード、プライベートファイルへのアクセスを可能にするものでした。
「私たちが発見したMicrosoft 365 Copilotへの攻撃手法は2種類ありますが、いずれもプロンプトインジェクションを含むCopilotリンクという同一の配信方法に依存しています」と、VaronisのサイバーセキュリティリサーチディレクターであるDor Yardeni氏はeSecurityPlanet宛のメールで述べています。
同氏はさらに「最初に発見したのはCopilot Personalを標的にしたもので、2つ目はその手法をCopilot Enterpriseにまで拡張したものです」と説明しています。
また「被害の範囲は、対象ユーザーがアクセスできるすべてのものに及ぶ点が重要です。メール、ドキュメント、会議データ、さらにはセキュリティ関連のコンテンツも対象となります」と付け加えました。
SearchLeakの要点
- SearchLeakにより、攻撃者は悪意のあるCopilotリンクを一度クリックさせるだけで、Microsoft 365の機密データを窃取できた可能性があります。
- この脆弱性の連鎖は、パラメータからプロンプトへの(P2P)インジェクションの欠陥、HTMLレンダリングの競合状態、BingベースのSSRF脆弱性を組み合わせたものです。
- Copilotはユーザーの既存の権限で動作するため、攻撃者はメール、ファイル、会議データ、MFAコード、その他の業務上重要な情報にアクセスできた可能性があります。
- この攻撃はMicrosoftの信頼されたドメインを悪用するため、従来のフィッシング対策やURLフィルタリングツールでは悪意のあるリンクを検出しにくい仕組みになっています。
- Microsoftはすでにパッチを公開していますが、この研究はエンタープライズAIプラットフォームにおけるAIガバナンス、アクセス制御、監視の重要性が高まっていることを示しています。
SearchLeakが重大な理由
Microsoft 365 Copilot Enterpriseは、ユーザーのメール、カレンダー、SharePointサイト、OneDriveファイル、その他のMicrosoft 365データ全体を横断して検索できます。
Copilotはユーザーの既存の権限で動作するため、攻撃が成功した場合、被害者がアクセス権を持つあらゆる情報が露出するリスクがあります。
脆弱性の連鎖の仕組み
研究者たちは、この攻撃チェーンが3つの独立した脆弱性を組み合わせることで、気づかれない形でのデータ窃取を可能にしていることを発見しました。
第一の脆弱性は、Microsoft 365 Copilot Enterprise Searchにおけるパラメータからプロンプトへの(P2P)インジェクションの欠陥です。
URLパラメータ内に悪意のある命令を埋め込むことで、攻撃者はCopilotをだまして、その入力を正規のプロンプトとして扱わせ、攻撃者の代わりに被害者のメールボックス、カレンダー、組織データを検索させることができます。
第二の段階では、HTMLレンダリングの競合状態が悪用されます。
Microsoftは潜在的に危険なHTMLコンテンツを無効化するための保護機能を実装していましたが、研究者たちはAIが生成した出力がその保護機能が適用される前に一瞬ブラウザ上にレンダリングされることを発見しました。
これにより、悪意のある画像タグがコンテンツのサニタイズ前に実行され、外部へのリクエストを開始できてしまいます。
最終段階では、Bingの画像検索機能を通じたサーバーサイドリクエストフォージェリ(SSRF)脆弱性が利用されます。
BingはMicrosoftのコンテンツセキュリティポリシー(CSP)においてすでに許可リストに登録されているため、攻撃者はこの信頼されたサービスを中継として悪用し、多くの従来型セキュリティ制御をすり抜けながら攻撃者が管理するインフラへデータを取得・送信できます。
攻撃チェーンによる潜在的な影響
これらの脆弱性が組み合わさることで、攻撃者は悪意のあるリンクを一度クリックさせるだけで、気づかれることなく機密情報を窃取できます。
流出の可能性があるデータには、メールの内容、パスワードリセットリンク、多要素認証(MFA)コード、会議の詳細、SharePointドキュメント、OneDriveファイル、機密性の高いビジネスコミュニケーション、その他のインデックス済み企業データが含まれます。
この攻撃で特に懸念されるのは、悪意のあるURLが正規のMicrosoftドメインを指していることで、従来のフィッシング対策、URLフィルタリング、メールセキュリティソリューションによる検出が困難になっている点です。
Microsoftはすでにこの脆弱性の連鎖に対処するパッチを公開しています。
組織がリスクを軽減するための対策
Microsoft 365 Copilot Enterpriseを利用している組織は、AIによるデータ露出やプロンプトインジェクション攻撃のリスクを低減するための対策を講じる必要があります。
- Microsoft 365 Copilot Enterpriseに完全なパッチが適用されていることを確認し、CVE-2026-42824に関するMicrosoftのガイダンスを確認してください。
- Copilotのアクティビティ、Microsoft Graphへのアクセス、AIが生成した検索クエリを監視し、異常な動作、不審なプロンプト、データ窃取の可能性を早期に発見してください。
- 最小権限のアクセス制御を適用し、SharePoint、OneDrive、Exchange、Teams、その他のCopilot連携サービスの権限を定期的に見直してください。
- データ分類、機密ラベル、データ損失防止(DLP)制御を活用し、AIを活用したワークフローを通じた機密情報の露出リスクを低減してください。
- コンテンツセキュリティポリシーの許可リストを見直し、サーバーサイドリクエストの実行やセキュリティ制御の回避に悪用される可能性のある信頼済みサービスを調査してください。
- AIが生成した出力を信頼できないコンテンツとして扱い、定期的にAIセキュリティ評価を実施してプロンプトインジェクションやデータ露出のリスクを特定してください。
- インシデントレスポンス計画をテストし、プロンプトインジェクション、不正アクセス、AIを活用したデータ窃取の試みを含むAI特有の攻撃シナリオを想定した訓練を行ってください。
これらの対策を組み合わせることで、AIによるデータ窃取へのリスクを低減しながら、プロンプトインジェクション、不正アクセス、将来的なCopilot関連の攻撃チェーンに対する耐性を高めることができます。
まとめ
SearchLeakは、AIプラットフォームを単なる生産性向上ツールではなく、機密データへのアクセス権を持つ重要なエンタープライズアプリケーションとして評価すべきことを改めて示す事例となっています。
また今回の脆弱性は、攻撃者がセキュリティ制御を回避し業務上重要な情報へアクセスするために、従来のWebエクスプロイトとAI特有の攻撃手法を組み合わせる傾向が強まっていることを浮き彫りにしています。
AIの急速な普及が進む中、セキュリティ、コンプライアンス、責任ある利用に関するAIガバナンスの強化に取り組む組織が増えています。
