Microsoft 365 Copilotに「1クリックでデータ窃取」の脆弱性チェーン ― CVE-2026-42824、パッチ適用済み

Microsoftはこの脆弱性をサーバーサイドで修正済みであり、ユーザー側の対応は不要と報告されている。以下はセキュリティ企業Varonisが開示した攻撃手法の解説である。

3行まとめ

1. セキュリティ企業Varonisが、Microsoft 365 Copilotの脆弱性チェーン「SearchLeak」（CVE-2026-42824）を2026年6月15日頃に開示した
2. プロンプトインジェクション・HTMLレンダリングの競合状態・Bing経由のSSRFを連鎖させ、メール・カレンダー・SharePointファイル・MFAコードを1クリックで窃取できる攻撃だった
3. Microsoftはサーバーサイドでパッチを適用済みであり、ユーザー側の操作は不要

何が見つかったか

BleepingComputerの報道によると、セキュリティ企業Varonisは「SearchLeak」と名付けた脆弱性チェーンをMicrosoftに報告し、CVE-2026-42824が割り当てられた。

この攻撃は3つの脆弱性を連鎖させるもので、単体では成立しない。

攻撃チェーンの仕組み（簡易解説）

技術的な詳細を簡略化すると、攻撃は以下の3段階で構成されていたと報告されている。

1. プロンプトインジェクション（入口）

攻撃者が細工したURLをユーザーに送る。ユーザーがそのリンクをCopilotに読み込ませると、URL内に埋め込まれた命令文がCopilotの動作を書き換える。AIに対する「なりすまし指示」のようなものだ。

2. HTMLレンダリングの競合状態（すり抜け）

Microsoft 365 Copilotには、危険なHTMLコンテンツを表示前にフィルタリングする仕組みがある。しかし、レンダリング処理のタイミングの隙（競合状態）を突くことで、本来ブロックされるはずの隠し要素をすり抜けて表示させることができたと報告されている。

3. Bing SSRFによるデータ送出（出口）

すり抜けた隠し要素にはBingの画像検索リクエストが仕込まれていた。Copilotがこのリクエストを実行すると、ユーザーのメールやカレンダーの内容がURLパラメータに載せて攻撃者のサーバーに送信される。いわゆるSSRF（サーバーサイド・リクエスト・フォージェリ）の応用で、Copilot自身が「内部から外部へデータを持ち出す運び屋」にされる構造だった。

窃取できたデータの範囲

BleepingComputerの報道によると、この攻撃チェーンが成功した場合に窃取可能だったデータは以下の通り。

• メールの件名・本文
• カレンダーの予定
• SharePoint上のファイル内容
• ライブMFAコード（多要素認証のワンタイムパスワード）

MFAコードが窃取対象に含まれていた点は、アカウント乗っ取りに直結しうるため深刻度が高いと指摘されている。

パッチ状況

Microsoftはサーバーサイドで修正を適用済みであり、ユーザーやIT管理者がパッチを手動で適用する必要はないと報告されている。

OWASPが警告するAIエージェントの脅威との関連

この脆弱性チェーンの入口であるプロンプトインジェクションは、OWASPが「エージェント型AIの脅威 第1位」にランク付けしている攻撃手法である。

AIエージェントがメール・カレンダー・ファイルなど広範なデータにアクセスできる設計は利便性の源泉だが、同時にプロンプトインジェクションが成功した場合の被害範囲を拡大させる。SearchLeakは、この構造的リスクが実環境で攻撃チェーンとして成立した事例にあたる。

正直に言うと

• この脆弱性は修正済みであり、現時点で同じ攻撃は成立しない
• ただし、AIエージェントが多くのデータソースにアクセスする設計が続く限り、類似の攻撃チェーンが今後も発見される可能性は残る
• プロンプトインジェクションの根本的な解決策（AIが「データ」と「命令」を完全に区別する仕組み）はまだ確立されていない
• Microsoft 365 Copilotを業務利用している組織は、Copilotがアクセスできるデータ範囲の棚卸しを検討する価値がある

出典・但し書き

本記事は2026年6月21日時点の情報に基づく。攻撃チェーンの技術的詳細はBleepingComputerの報道およびVaronisの開示情報による。CVE-2026-42824の正式なCVSSスコアは本記事執筆時点で未確認。