Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data in One Click
2026/06/15 CyberSecurityNews — Microsoft 365 Copilot Enterprise に存在する、深刻な脆弱性チェーンを悪用する攻撃者が、正規の Microsoft ドメインを指すリンクを 1 回クリックさせるだけで、企業の機密データ/MFA コード/メールの内容/カレンダーの詳細/機密ファイルを窃取できる状態にあった。
Varonis Threat Labs により発見された “SearchLeak” には、CVE-2026-42824 が割り当てられており、Microsoft による最高レベルの深刻度評価を受けていた。この問題の重要性は、単一のバグに対するものではない。長年にわたり知られている 2 つの Web セキュリティの脆弱性と、AI 特有の新たな弱点を組み合わせることで、Copilot Enterprise Search を静かなデータ流出チャネルへ変えてしまう点にある。
その意味で、”SearchLeak” という名前は単一の脆弱性を示すものではなく、Microsoft 365 Copilot Enterprise Search をデータ流出エンジンとして悪用する、連鎖型エクスプロイトを指すものである。
この攻撃を特定した Varonis の研究者 Dolev Taler は、Parameter-to-Prompt (P2P) インジェクション/HTML レンダリングのレース・コンディション/Bing の画像検索エンドポイントを介した Server-Side Request Forgery (SSRF) という 3種類の脆弱性を組み合わせている。
それぞれの脆弱性は、個別に対処できるものであるが、これらを連鎖させる攻撃者は特別な権限/プラグイン/追加操作を必要とせずに、Microsoft 365 テナント内で被害者がアクセス可能なデータを、ワンクリック攻撃で窃取できるようになる。
Microsoft 365 Copilot 脆弱性チェーン
Stage_1:P2P インジェクション
Microsoft 365 Copilot Search は、自然言語検索クエリ用の q URL パラメータを受け付ける。この欠陥は、q パラメータに設定された値が、Copilot の AI エンジンにより単なる検索文字列ではなく実行可能な命令として解釈されてしまう点に起因する。
信頼されている “microsoft.com” ドメインを指す、悪意の URL を作成する攻撃者は、Copilot に対して被害者のメールボックスを検索した上で、抽出したデータを画像 URL に埋め込むよう指示する。このリンクは、正規の Microsoft ドメインへと解決されるため、従来のフィッシング対策や URL 保護ツールでは検知されない。
Stage_2:ガードレールの突破
AI が生成する危険な HTML に対する Microsoft の対策は、Copilot の出力をブロックで囲んでマークアップし、ブラウザによるレンダリングを防止する方式である。
しかし、この囲み込み処理は、Copilot の生成フェーズ終了後に実行されるだけであり、ストリーミング・フェーズ中においては、攻撃者が注入したタグなどの生の HTML が一時的に DOM 上でレンダリングされてしまう。
つまり、ブラウザは、サニタイザーが作動する前に HTTP リクエストを発行するため、典型的なレース・コンディションによるバイパスが生じる。
Stage_3:Bing を介した SSRF
“m365.cloud.microsoft” の Content Security Policy (CSP) により、攻撃者が制御するサーバへ向けた、被害者のブラウザからの直接的な接続は阻止される。しかし、”*.bing.com” は CSP の許可リストに含まれているため、Bing の “画像で検索” 機能は imgurl パラメータを受け付け、指定された URL をサーバ側で取得して分析してしまう。
したがって窃取されたデータが、この Bing 画像検索 URL のパスに直接埋め込まれると、Bing のバックエンドは意図せずに、窃取されたデータを攻撃者のサーバへ向けて中継する。結果として、CSP は完全に回避されてしまう。
この攻撃を完遂するために必要なものは、メール/Teams/Slack/任意のメッセージング・チャネルを介して送信された細工されたリンクのみである。悪意のリンクがクリックされると、Copilot は被害者のメールボックスを密かに検索し、窃取したデータを Bing 画像 URL へ埋め込んだレスポンスをストリーミング生成する。このチェーンにより、追加のクリックを必要とすることなく、攻撃者が管理するサーバは、数秒以内に流出データを記録する。
防御側への推奨事項
すでに Microsoft は、サーバ側で SearchLeak を完全に修正しているため、ユーザー側での対処は不要である。ただし、Varonis はセキュリティ・チームに対して、以下の対策を推奨している。
- Copilot Search の URL を監視し、HTML または画像埋め込み命令を含む q パラメータ内のエンコード済みペイロードを検出する。
- ユーザー指定 URL に対して、サーバ側フェッチを実行するドメインの有無を、CSP 許可リスト内で監査する。
- AI のストリーミング出力を信頼しないものとして扱い、後処理ではなくレンダリング時にサニタイズを実施する。
- 長くエンコードされたクエリ文字列を含む Microsoft 365 リンクについて、クリック前に確認するようユーザーへ注意喚起する。
SearchLeak は、以前に Varonis が発見した Reprompt に続くものである。Reprompt とは、Copilot Personal に影響を与える同様のワンクリック・データ流出チェーンである。これらの発見が浮き彫りにするのは、検出が困難な新たな攻撃対象領域を、AI アシスタントが生み出している現状である。従来は、悪用が困難/不可能と考えられてきた古典的な脆弱性が、新たな文脈の中で再び悪用可能となっている。
訳者後書:今回の問題の原因は、従来の Web セキュリティの弱点と、AI 特有の挙動が組み合わさったことにあります。具体的には、URL パラメータの値を AI が実行可能な命令として誤認すること、AI 生成時の処理で生の HTML を一時的に表示すること、そして信頼されたドメインの画像検索機能の悪用によりデータを中継することが重なりました。個々の問題は対処可能であっても、これらが連鎖することで、1 回のクリックから機密情報が流出する深刻な状況が生まれてしまいました。ご利用のチームは、ご注意ください。よろしければ、Copilot での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.