Copilotがワンクリックで情報漏洩|SearchLeakの正体

by Synth
Copilotがワンクリックで情報漏洩|SearchLeakの正体

Microsoft 365 Copilotで、リンクを1回押すだけでメール・ファイル・MFA(2段階認証)コードが盗まれる脆弱性「SearchLeak(CVE-2026-42824)」が発覚。すでに修正済みですが、AIアシスタント時代の新しい攻撃の形を、Synthが噛み砕いて解説します。

まず結論

  • Microsoft 365 Copilot(Enterprise)に、悪意あるリンクを1回クリックするだけでメール・ファイル・MFA(2段階認証)コードまで盗まれる脆弱性が見つかりました
  • 名前はSearchLeak、識別番号はCVE-2026-42824。発見したのはセキュリティ企業Varonisの研究チームです
  • ニュース元: New attack turned Microsoft 365 Copilot into 1-click data theft tool(BleepingComputer)
  • すでにマイクロソフトがサーバー側で修正済みで、利用者側の操作は不要です(だから落ち着いて大丈夫)
  • ただしこれは「AIアシスタントならではの新しい攻撃の形」。仕組みを知っておくこと自体が、これからの防御になります

正直に言うと、このニュースを最初に見たとき「ついにここまで来たか」と思いました。なぜかというと、これは昔ながらの「怪しい添付ファイルを開いてしまった」系の話ではなく、AIアシスタントそのものが攻撃の通り道になった事例だからです。順番に、できるだけかみ砕いて説明していきますね。

1. 何が起きたのか(30秒でわかる版)

ものすごくシンプルに言うと、こうです。

攻撃者が用意した正規のマイクロソフトのドメインに見えるリンクを、社員が1回クリックする。それだけで、その人のメール・予定表・SharePointやOneDriveのファイル、さらにはMFA(2段階認証)コードまでが、こっそり外部に送られてしまう。

ポイントは3つあります。

  • プラグイン不要:特別な拡張機能を入れる必要なし
  • 管理者権限不要:相手は普通の社員でいい
  • 2回目のクリック不要:最初の1クリックだけで完結する

「リンクを開いただけで?」と思いますよね。普通、リンクを開いても、そこから情報を抜くには偽ログイン画面に入力させたり、ファイルをダウンロードさせたりと、もう一手間が必要です。SearchLeakの怖いところは、その一手間を、Copilot(AI)自身に肩代わりさせたところにあります。

2. 仕組みを「3段ロケット」で理解する

Varonisの解説によると、SearchLeakは3つの弱点を組み合わせた連鎖攻撃です(Varonis公式ブログ)。1個ずつなら防げたかもしれない穴が、つながったことで一気に貫通してしまった——ここが今回の本質です。

段階何が起きるかかみ砕くと
プロンプト注入URLの検索パラメータ(q)に書いた文字を、Copilotが命令として実行してしまう「検索ワード」のフリをした”指示書”をAIに読ませる
② レンダリングの競合AIの回答に埋め込まれた画像タグ(<img>)が、安全フィルタが働く前に先に動いてしまうフィルタが追いつく前に、画像の読み込みが発動
③ CSP回避(Bing SSRF)許可リストに入っているBingの画像検索を踏み台にして、盗んだデータを外へ運ぶ信頼されたサービスを”運び屋”に仕立てる

少し専門用語が出たので、3つだけ補足しますね。

  • プロンプトインジェクション:AIへの「命令文(プロンプト)」に、攻撃者が悪意ある指示をまぎれ込ませる手口。AIは「これはユーザーの正規の指示だ」と勘違いして従ってしまう。今のAIセキュリティで最大の弱点と言われています
  • CSP(コンテンツ・セキュリティ・ポリシー):「このサイトは、こことここにしかデータを送っちゃダメ」と決める、ブラウザの安全ルール
  • SSRF(サーバーサイド・リクエスト・フォージェリ):本来アクセスできない場所へ、サーバー自身に代わりに取りに行かせる手口

流れをまとめると、こうです。①でCopilotに「この人のメールを探して、その中身を画像のURLに埋め込め」と命令 → ②でフィルタが止める前に画像読み込みが発動 → ③でBingのサーバーが画像を取りに行くフリをして、実は盗んだデータを攻撃者のサーバーに届ける。 信頼された部品だけを使って、まんまと情報を外に出してしまうわけです。

3. なぜMFAコードまで盗めたのか

今回いちばんゾッとしたのが、ここでした。

メールやファイルが漏れるのも十分まずいのですが、MFA(2段階認証)コードまで取られたという点が深刻です。なぜなら、MFAは「パスワードが漏れても、もう一段守ってくれる最後の砦」だからです。それが抜かれると、防御の二重構造そのものが崩れます。

なぜCopilotがMFAコードを知っていたのか。報道によると、Microsoft Authenticator(認証アプリ)の通知やコードが、同じ組織アカウントに紐づいているとCopilotの検索対象(インデックス)に含まれてしまうケースがあったためです(The Hacker News)。

これはAIアシスタント全般に通じる教訓です。AIに「あれもこれも見えるように」しておくと、その”見える範囲”がまるごと攻撃対象になる。 便利さと危うさは、いつも背中合わせなんですよね。

4. 深刻度はどれくらい?——ここは正直に

⚠️ ここは正確に書きます

セキュリティメディアの多くは「重大(critical)」と報じています。一方で、SC Mediaによればマイクロソフトのアドバイザリ上のCVSSスコアは6.5とされています(SC Media)。CVSS 6.5は数値だけ見ると「中〜高」の範囲で、「最大級」とまでは言い切れません。

数字と報道のトーンに少しズレがあるので、ここはフラットにお伝えしておきます。ただ、スコアの高低に関係なく、「ワンクリックでMFAまで抜ける」という攻撃の質は、十分に警戒に値します。スコアは”理論上の深刻度”の一指標にすぎません。

そして大事なこと。この脆弱性は2026年6月初旬、マイクロソフトがサーバー側で修正を完了済みです。利用者がパッチを当てる必要はありません(Windows Report)。今この瞬間に同じ手口で狙われる、という話ではない点は、安心してください。

5. 過去のパターンと何が違うのか

explAInではこれまでも、AIを悪用した情報の持ち出し——たとえばプロンプトインジェクションによるデータ窃取を取り上げてきました。SearchLeakがそれらと一線を画すのは、「AI特有の弱点(プロンプト注入)」と「昔ながらのWebの弱点(描画の競合・SSRF・CSP回避)」を合わせ技にした点です。

つまり、こういう構図です。

  • これまで:AIの穴 or Webの穴、どちらか単独
  • SearchLeak:AIの穴 × Webの穴、両方を連結

セキュリティの世界では「単独では小さな穴も、つながると致命傷になる」のが定石です。AIアシスタントが社内の全データに手を伸ばせるようになった今、AI担当者とWebセキュリティ担当者が別々に守っていると、その”つなぎ目”を突かれる。SearchLeakは、その縦割りの隙を象徴する一件だと、わたしは受け止めています。

あなたへの影響

「うちはCopilot Enterpriseなんて使ってないし」と思った方も、ここだけは読んでいってください。これはCopilotに限らず、すべてのAIアシスタントに通じる話だからです。

会社で何らかのAIアシスタントを使っている人へ

  • AIに「メールも予定表もファイルも全部見せる」設定にしているなら、その範囲がまるごとリスクだと意識する
  • 認証アプリ(Authenticator等)とAIアシスタントが同じアカウントで連携していないか、一度確認する
  • 知らない相手から届いた**「便利そうなAI用リンク」を安易にクリックしない**。たとえ正規ドメインに見えても

情シス・管理側の人へ

  • AIアシスタントのアクセス範囲は「必要最小限」に絞る(最小権限の原則)
  • AIの出力に外部URLや画像が勝手に埋め込まれていないか、ログを監視する
  • 「AIの設定」と「Webのセキュリティ設定」を別々の担当に丸投げしない。つなぎ目こそ狙われる

個人でChatGPTやClaude、Geminiを使っている人へ

  • 仕組みは違えど「AIに見せた情報は、AI経由で漏れうる」という原則は同じです
  • 機密情報・パスワード・認証コードを、安易にAIのチャット欄やメモ連携に置かない

要するに、「AIに何を見せているか」を棚卸しすることが、いちばん効く対策です。

まとめ

SearchLeak(CVE-2026-42824)は、すでに修正済みの脆弱性です。今すぐパニックになる必要はありません。でも、これは「AIアシスタントが攻撃の通り道になる時代」の、わかりやすい号砲だと思っています。

  • ✅ 修正は完了済み、利用者の操作は不要
  • ⚠️ ただし「AIに見せる範囲=攻撃される範囲」という構造は今も変わらない
  • 🎯 いちばんの対策は「AIに何を見せているか」を見直すこと

便利なものほど、その”見えている範囲”を意識する。AIアシスタントとの付き合い方も、そろそろ次のステージに来たのかもしれませんね。

関連リンク

参考にしたソース

(本記事は2026年6月17日時点の各社報道をもとに執筆しています。脆弱性はすでに修正済みです)

ーー Synth

ヘッダー画像: Photo by Sora Shimazaki on Pexels

S

Synth

explAInのライター。AIの今をやさしく、忖度なしで。