SearchLeak: Microsoftのリンクを1クリックするだけでメールボックスが盗まれる脆弱性とは

これは、セキュリティ研究者が警告してきたパターンを如実に示すものでした。2026年1月、同じVaronisのラボは、コンシューマー向け「Copilot Personal」に対するほぼ同一のワンクリック攻撃である Reprompt を公開しました 。さらに遡る2025年6月には、Aim Securityが悪意ある文書に埋め込まれたプロンプトインジェクションを武器化したゼロクリックの脆弱性 EchoLeak を公開していました 。SearchLeakの出現は、エンタープライズグレードの防御策が根本的なリスクを排除したわけではなく、攻撃者にとっては単により創造的になる必要があるというハードルを上げたに過ぎないことを示しました。

3つのバグが連鎖する仕組み

SearchLeakチェーンの各リンクはそれ自体が示唆に富みますが、その組み合わせこそが攻撃を非常に強力なものにしました。

ステージ1：パラメータからプロンプトへのインジェクション

Copilot Enterprise Searchは、ユーザーの自然言語クエリを含むURLパラメータ q を受け入れます。Varonisの研究者は、このパラメータが検索フレーズだけでなく、任意のプロンプト命令を受け入れることを発見しました 。

攻撃者は、認証済みユーザーがそのURLを読み込むと、リンクの見かけとは全く異なる動作をCopilotに指示するURLを作成できます。例えば、被害者のメールボックスからワンタイムMFAコードを検索し、そのコードを画像URLに埋め込み、応答に追記するようAIに指示するのです。被害者には、Microsoftブランドの検索ページが見えます。Copilotは、注入されたプロンプトに黙って従います 。

Varonisが パラメータからプロンプトへのインジェクション（P2P） と呼ぶこの手法は、以前のCopilot Personalに対するReprompt攻撃の中核メカニズムと同じでした 。

ステージ2：サニタイズを迂回する競合状態

CopilotがHTMLマークアップ（<img> タグなど）を含む出力を生成する場合、サーバーサイドのサニタイザー（無害化機能）が、ブラウザがそれを単なるテキストとして扱うように、出力全体をコードブロックでラップ（包むこと）するはずです。問題は？そのラップが、コンテンツが完全に生成された後にしか行われないことです 。

しかし、ブラウザはストリーミングで届く応答を到着次第レンダリングし始めます。攻撃者が注入した <img> タグは、ストリームに現れた瞬間にリクエストを発火させます。これはサニタイザーが実行される前です。コードブロックが出現する頃には、画像URLは既にリクエストされ、そのパスにエンコードされたデータは被害者のブラウザを離れた後なのです 。

これは、AIが生成するコンテンツという文脈において致命的となった、古典的な競合状態です。古い防御メカニズムは、AIの出力自体が攻撃者によって制御される世界に対応して再設計されていませんでした。

ステージ3：CSP許可リストにあるBingエンドポイントを介した流出

初期の2段階があっても、最後の障壁が存在しました。m365.cloud.microsoft ドメインのコンテンツセキュリティポリシー（CSP）は、任意の外部サーバーからの画像読み込みをブロックします。しかし、*.bing.com は許可リストに含まれています 。

Bingの「画像で検索」エンドポイントは、URLをサーバー側で取得する機能を持ちます。SearchLeakエクスプロイトでは、攻撃者は盗んだデータを画像検索パスの一部として追加します（例：

https://www.bing.com/images/search?q=/Your_Security_Code_847291/img.png

攻撃者は、Bingのサーバーがアクセスするよう仕向けられた、自身の画像エンドポイントのログを監視するだけで良いのです。

1クリックの持つ、見かけによらない単純さ

チェーン全体は自動的に実行されました。被害者はリンクをクリックします。Copilotは自身のデータを検索します。出力はブラウザにストリーミングされます。<img> タグが発火します。Bingのサーバーが攻撃者のURLを取得します。データが流出します。これら全てが、ユーザーのブラウザがページをレンダリングし終える前に発生しました。

この攻撃の検知が困難だった理由は以下の通りです。

• URLは信頼されたMicrosoftドメイン上のものであり、URLスキャナーやレピュテーションチェックを回避しました 。
• 認証ダイアログや追加クリックは一切発生せず、被害者の既存セッションが使用されました。
• 全ての外部リクエストは、許可リストにあるMicrosoftのインフラストラクチャに向かいました。

盗まれる可能性のあるデータは理論上のものではありませんでした。研究者は、会議の詳細やCopilotがインデックスした機密文書に加え、数分間有効なワンタイムMFAコードやパスワードリセットリンクを特に強調しました 。

深刻度の謎：「緊急」なのにスコアは？

CVE-2026-42824は、深刻度評価をめぐってちょっとした議論を引き起こしました。マイクロソフトはこの脆弱性に社内で最も高い「緊急（Critical）」ラベルを割り当てましたが、CVSS v3.1基本値は 6.5（警告、Medium）と評価しました。その理由は、攻撃にユーザーの操作（1度のクリック）が必要なため、スコアが下がったとされています 。

一部の情報源は、国家脆弱性データベース（NVD）による 7.5（重要、High）のスコアを報じました 。しかし実際には、TNWの分析を含む複数のレビューが、MicrosoftのCSAFレコードとNVDエントリの両方で同一の6.5ベクトルが反映されていると指摘しています 。より高いスコアという認識は、独立したアナリストがより広範な影響を想定して計算したか、初期の報道を反映した可能性があります。

数値がどうであれ、「組織の最も機密性の高いデータが1クリックで暴露されうる」というコンセンサスは明確でした。

Copilot脆弱性の系譜

SearchLeakは、真空の中で突然現れたわけではありません。これは、他の2つの画期的なAIデータ流出の発見に連なるものです。

• EchoLeak（CVE-2025-32711） — 2025年6月。Aim Securityによるゼロクリックの脆弱性。Copilotが自動処理する文書に埋め込まれたプロンプトインジェクションを使用。ユーザーの操作は一切不要。CVSS 9.3 。
• Reprompt — 2026年1月。Varonisは、コンシューマー向けCopilot Personalが同じP2Pインジェクション技術で乗っ取られることを示しました。マルウェアもプラグインも不要で、細工されたURLだけが必要でした 。

共通するのはプロンプトインジェクションです。AIの中核機能である「指示に従うこと」を攻撃対象領域に変えてしまう脅威です。一連の脆弱性は、ある攻撃面（コンシューマー向けとエンタープライズ向け）にパッチを当てたり、防御策（文書処理と検索クエリ）を追加したりしても、この種のリスクがなくなるわけではなく、攻撃者の創造性の矛先を変えるだけであることを示しています 。

テナント管理者が今すべきこと

SearchLeak自体は修正済みであり、お客様側の対応は不要です。しかし、この手法は消え去るものではなく、セキュリティチームは教訓を運用に生かすべきです。

Copilot SearchのURLを監視する。 q パラメータは現在も公開されています。プロキシログを通過するCopilot Enterprise SearchのURLで、エンコードされたHTML、スクリプトのようなペイロード、不審なほど長い命令文字列などを探してください 。

Bing画像エンドポイントへの異常な外部リクエストを監視する。 ユーザーが突然、符号化または流出したデータを思わせるパターンを持つ異常な画像検索パスで *.bing.com への複数リクエストを生成した場合、アラームを上げるべきです 。

Copilotのインデックス対象範囲を制限する。 最小権限のデータガバナンスを実践しましょう。将来の脆弱性が発見された場合に、被害がユーザーがアクセスできる全てに及ばないよう、CopilotがインデックスできるSharePointサイト、OneDriveフォルダ、メールボックスを制限してください。CopilotのMicrosoft Graphアクセス許可を定期的に監査し、削減しましょう 。

SearchLeakの公開は、単一のパッチについての話ではなく、プロンプトインジェクションと従来型のWeb脆弱性が交差する進化中の領域への警告でした。組織が自社データへの深いアクセス権を持つAIコパイロットを採用する中で、AIの出力を信頼できるコンテンツとして扱うセキュリティモデルは再考されなければなりません。次の攻撃チェーンは、同じ3つのバグを使わないでしょうが、ほぼ間違いなく同じパターンを再利用するでしょう。