Microsoftの Copilot に重大な脆弱性が見つかり、攻撃者がメールなどの機密情報を盗み出せる状態にありました。

何が起きたか：攻撃者が特別に細工したURLをメールで送信すると、Copilot が自動的にユーザーのメール、会議招待状、ノートなどを検索・抽出し、攻撃者に送信してしまう脆弱性がありました。ユーザーがリンクをクリックするだけで、タイプすることなく情報が奪われます。Microsoft は火曜日にこの脆弱性を修正しました。

なぜ重要か：この攻撃（SearchLeak と命名）は Enterprise 版 Microsoft 365 を標的としており、個人データだけでなく、SharePoint ドキュメント、OneDrive ファイル、社内の インデックス化されたビジネスコンテンツなど、ユーザーがアクセスできる組織内のあらゆる情報が盗まれる可能性がありました。M365 が社内環境に接続されている場合、被害はさらに広がる可能性があったとみられます。

注目点：根本的な原因を修正する既知の方法がないため、研究者によれば攻撃者は今後も新たな方法で Copilot の保護機構を回避する可能性があり、同じ問題が繰り返される恐れがあります。