「SearchLeak」：M365 Copilot、たった1クリックでメールボックスからデータが流出

ステップ2：セキュリティチェックの“隙間”を突く、レンダリングの競合状態

次に、コパイロットがブラウザ上に検索結果を表示する際の動きを悪用しました。注入された指示により、Copilotは応答の中にHTMLの <img> タグ――つまり画像を表示するためのコード――を生成させられます。

この画像タグのリンク先（src 属性）は、攻撃者が用意した外部サーバーです。ここで極めて重要なのが、レンダリングの処理における「競合状態（レースコンディション）」の存在です。ブラウザは、コパイロットのセキュリティフィルターが出力内容を検査して危険なコードをブロックする「前に」、画像を読み込んでしまいます。つまり、セーフティネットが作動する一瞬の隙に、画像リクエストという形で重要なデータが外部へ送信されてしまうのです 。

ステップ3：Bingを“運び屋”にする「SSRF」攻撃

最後の情報流出経路は、マイクロソフト社内のBing画像検索の仕組みを悪用した「サーバーサイドリクエストフォージェリ（SSRF）」です。<img> タグのリンク先は、 bing.com を経由するように細工されました。

bing.com は、企業のネットワーク監視やデータ損失防止（DLP）システムから見れば「社内の信頼できる通信」です。ブラウザはこの“一見無害な画像取得リクエスト”をBingのサーバーに送り、そこにエンコードされた機密データが、最終的に攻撃者のサーバーへと転送される仕組みでした 。

どの情報が危険にさらされたのか

この攻撃が作動すると、Copilotはログイン中の被害者が持つ「Microsoft Graph」の権限を通じてアクセスできる、あらゆる情報を収集対象にしました。研究者が実際にデータを窃取可能だったことを実証した範囲は以下の通りです 。

• メール本文に記載されたMFAコードやパスワード
• メールの件名と本文の内容すべて
• カレンダーの予定の詳細
• SharePointやOneDrive上の文書の要約やインデックス情報

多くの企業でCopilotが横断的に情報検索できることを考えれば、被害の潜在的な規模は甚大です。

専門家が下した評価：「深刻度」は中程度でも「実害リスク」は高い

米国国立標準技術研究所（NVD）は、この脆弱性の根本原因を「M365 Copilotにおける、コマンドに使用される特殊要素の中和が不適切であること（コマンドインジェクション）」と説明しています 。しかし、その深刻度スコア（CVSS）は評価機関によってばらつきがあります。

• NVD CVSS 3.1 スコア: 6.5（「Medium（警告）」）
• Tenable CVSS v2 スコア: 7.8（「High（重要）」）
• マイクロソフト社内評価: 「Critical（緊急）」

スコアが示す数字以上に、実務上のリスクは高いと言えます。なぜなら、すべてのM365 Copilot Enterpriseユーザーが標的になり得て、攻撃に必要なのは一見して完全に安全なURLへのたった1クリックだけで、既存のメールやネットワークセキュリティの“目”はこの脅威に対してほぼ無力だったからです。

AIアシスタントを蝕む「構造的弱点」：SearchLeak、Reprompt、EchoLeak

SearchLeakは、約1年の間に発見された3つ目の主要なCopilot向けプロンプトインジェクション攻撃です。これは単発のバグではなく、現在のLLM（大規模言語モデル）アシスタントが抱える構造的な弱さを示しています。

Reprompt（CVE-2026-24307） — 2026年1月

同じVaronis Threat Labsが発見した「Reprompt」は、個人向けCopilot を標的にした攻撃です。やはりURLの q パラメータを悪用してAIに不正な指示を注入。これに加え、「ダブルリクエスト」という手法で、1回目の指示に対する安全策をかいくぐり、2回目の要求でプロフィール情報やファイルの要約などを抜き取っていました。この問題は2026年1月の月例パッチで修正されています 。

EchoLeak（CVE-2025-32711） — 2025年6月

Aim Securityが発見した「EchoLeak」は、さらに衝撃的なゼロクリック攻撃でした。攻撃者はメール内に隠しMarkdown画像タグを仕込み、Copilotがそのメールを処理する（読むだけで良い）だけで、自動的にデータが流出するというものです。ユーザーはリンクをクリックする必要さえありませんでした 。

SearchLeak（CVE-2026-42824） — 2026年6月

そして今回のエンタープライズ版「SearchLeak」です。P2Pインジェクションに、HTMLレンダリングというWebの古典的な弱点と、Bingのインフラを悪用するSSRFを組み合わせ、あらゆる企業ネットワークの防御をすり抜けるデータ流出経路を確立しました 。

3つの攻撃に共通するのは、どれも根本のアーキテクチャを突いている点です。LLMベースのアシスタントは、URLパラメータやメール本文といった「ユーザーが提供する可能性のあるコンテンツ」を、人間と同様に「信頼できる指示」として受け取ってしまいがちです。そして、その出力がブラウザやメーラーの「自動的なふるまい」を引き起こし、情報が漏れ出す「抜け道（サイドチャネル）」を作ってしまう。マイクロソフトは個々の脆弱性にパッチを当ててきましたが、根本的な信頼の境界線が再設計されない限り、この問題は今後も形を変えて現れ続ける可能性が高いと専門家は指摘しています 。