2026年6月15日に公開された記事によると、Varonis Threat Labs がMicrosoft 365 Copilot Enterprise の脆弱性チェーン「SearchLeak」を発見したという。この脆弱性はCVE-2026-42824 として管理され、Microsoft は最高深刻度に格付けした後、サーバーサイドで修正済みである。
研究者ドレヴ・タラー氏が解説したこの攻撃は、Parameter-to-Prompt インジェクション、HTMLレンダリングのレースコンディション、Bing の画像検索エンドポイントを介した SSRF の3つを連鎖させる。攻撃者は microsoft.com ドメインを指すリンクを送り、被害者がクリックすると、Copilot がメールボックスを検索し、窃取データを Bing 画像URLに埋め込み、攻撃者のサーバーへ送信する。
この攻撃はメール、Teams、Slack などで送られた1本のリンクのみで成立する。SearchLeak は、Copilot Personal に影響した先行例「Reprompt」に続くものである。
From: 
Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data in One Click
【編集部解説】
今回の「SearchLeak」がなぜ重要なのか。それは、単体では「対処済み」とされてきた古典的なWeb脆弱性が、生成AIという新しい部品と組み合わさることで、再び牙をむいた事例だからです。
技術的な核心を、かみ砕いて説明します。鍵は第1段階の「P2Pインジェクション」です。Copilot の検索URLにある q という入力欄は、本来「検索したい言葉」を入れる場所でした。ところが Copilot は、そこに書かれた文章を「探すべき言葉」ではなく「従うべき命令」として読んでしまいます。攻撃者は、この読み違いを利用して Copilot に指示を出すわけです。
残る2つ、HTML描画のレースコンディションと Bing を経由した SSRF は、Web の世界では何年も前から知られた古い欠陥です。Varonis 自身も、これらは本来「容易に封じ込められるバグ」だと述べています。新しいのは AI への命令注入が可能になった点であり、それが古いバグへの“通り道”を再び開いてしまったのです。
影響範囲は、Microsoft 365 のテナント内で被害者がアクセスできる情報のほぼ全域に及びます。報道各社によれば、メールの件名や本文、パスワード再設定リンクやセキュリティコード、会議の詳細、そして OneDrive や SharePoint に保存・索引付けされた業務ファイルが対象に含まれます。正規の microsoft.com ドメインを経由するため、従来のフィッシング対策をすり抜ける点が厄介でした。
一方で、過度に不安をあおるのは公平ではありません。Microsoft は6月初旬にサーバー側で修正を完了しており、利用者側の操作は不要です。また Varonis が示したのは概念実証(PoC)であり、報道各社によれば、実際に悪用された形跡は確認されていません。
数字の扱いにも注意が必要です。元記事は「最高深刻度(maximum severity)」と表現していますが、これは Microsoft の格付け区分上の「critical」を指すものです。一方で深刻度を数値化した CVSS スコアは、Microsoft の評価で6.5、米国の国家脆弱性データベース(NVD)の評価で7.5と、いずれも中〜高程度にとどまり、両者で見解が分かれています。「最高」という語感と実際のスコアには、やや開きがあると捉えておくのが妥当でしょう。
長期的な視点も添えておきます。この手の問題は今回が初めてではありません。2025年には Aim Security が「EchoLeak」(CVE-2025-32711)というゼロクリック型の Copilot 情報漏洩を報告し、Varonis 自身も個人向け Copilot を狙った「Reprompt」を公表しています。同じパターンが繰り返されているという事実こそ、注視すべき点です。
ここから見えてくるのは、AI時代のセキュリティ境界線が引き直されつつあるという現実です。Microsoft は「Copilot は既存の権限設定を尊重する」と説明してきました。けれども権限が定めるのは「誰が何を見られるか」であって、「AIがその情報を敵対的な状況下でどう扱うか」までは保証しません。AIは与えられた文脈をまとめ、変形し、外部へ差し出す能力を持つ——その能力自体が新しい攻撃面になりうるのです。
規制や統制の観点では、「パッチを当てれば終わり」という従来の運用が通用しにくくなることを示唆します。AIアシスタントの出力やログをどう監査し、どの外部ドメインを信頼するか。企業の情報ガバナンスは、こうした問いに答える段階へと移りつつあります。利便性の裏側にある構造的な課題を、これからもみなさんと丁寧に追っていきたいと考えます。
【用語解説】
レースコンディション(競合状態)
複数の処理の実行順序やタイミングによって、本来想定されない結果が生じる欠陥を指す。今回は、無害化処理が起動する前にブラウザがHTTPリクエストを送ってしまう「時間差」が悪用された。
SSRF(Server-Side Request Forgery)
攻撃者がサーバーをだまし、本来アクセスできない宛先へサーバー自身に通信させる手法。今回は Bing のサーバーが、窃取データを含むURLを取得することで中継役にされた。
CVSS / CVE
CVEは脆弱性に付与される国際的な識別番号、CVSSはその深刻度を0〜10の数値で表す指標。今回のCVE-2026-42824は、CVSSスコアがMicrosoft評価で6.5、NVD評価で7.5と分かれた。
EchoLeak(CVE-2025-32711)/ Reprompt
いずれも Copilot を狙った情報窃取の先行事例。EchoLeakは2025年にAim Securityが報告したゼロクリック型、RepromptはVaronisが個人向けCopilotで公表したワンクリック型である。
【参考リンク】
Varonis 公式ブログ「SearchLeak」(外部)
発見元Varonisによる技術解説。攻撃チェーン3段階の詳細と緩和策を一次情報として確認できる。
MSRC CVE-2026-42824(外部)
Microsoft公式の脆弱性情報ページ。本件を情報漏洩を伴うコマンドインジェクションと分類している。
NVD CVE-2026-42824(外部)
米国の国家脆弱性データベース。CVSSをMicrosoft6.5、NVD7.5と併記して掲載している。
Microsoft 365 Copilot 公式サイト(外部)
影響を受けた製品の公式ページ。Copilotの機能や対応アプリ、エディションを確認できる。
Varonis 公式サイト(外部)
データセキュリティを専門とする企業の公式サイト。Threat Labsの研究や製品情報を掲載。
Varonis 公式ブログ「Reprompt」(外部)
SearchLeakの先行事例。個人向けCopilotを狙ったワンクリック型攻撃を解説した一次情報。
【参考記事】
One-Click Microsoft 365 Copilot Flaw Could Have Let Attackers Steal Emails, Files, and MFA Codes(The Hacker News)(外部)
CVSSが6.5(Microsoft)と7.5(NVD)で食い違う点や、EchoLeakとの系譜、PoC段階である点に言及。
Researchers Reveal One-Click Microsoft 365 Copilot Data-Exfiltration Flaw(Let’s Data Science)(外部)
CVSS 6.5/7.5の出典差、6月初旬の修正、実環境での悪用が未確認である点を整理している。
Copilot ‘SearchLeak’ Attack Allows 1-Click Data Theft(Dark Reading)(外部)
CVSS 6.5を指摘しつつ、P2Pインジェクションを防御側が注視すべき手法と位置づけている。
New attack turned Microsoft 365 Copilot into 1-click data theft tool(BleepingComputer)(外部)
Microsoftが月初にcriticalとして修正した経緯と、古典的バグが再び武器化される構図を解説。
NVD CVE-2025-32711(EchoLeak)(外部)
先行事例EchoLeakの脆弱性情報。M365 CopilotのAIコマンドインジェクションとして掲載されている。
【関連記事】
メール1通で企業秘密が筒抜け:世界初ゼロクリックAI攻撃「EchoLeak」の脅威
本記事で言及した先行事例EchoLeak(CVE-2025-32711)の詳報。ゼロクリック型である点が今回との対比になる。
Copilotは安全か? Microsoft 365環境におけるAIアシスタントの脆弱性と、進化するサイバー攻撃の手口
Mermaid作図機能を悪用した間接プロンプトインジェクション攻撃。攻撃手法の系譜を確認できる。
Copilot・Gemini・Cometが標的に:HashJackがAIブラウザーを「#」一文字で乗っ取る新手法
正規ドメインなのにAIだけが乗っ取られる、今回と同型の脅威モデルを扱った一報。
【編集部後記】
AIアシスタントは、いまや私たちの仕事の隣にいる相棒のような存在になりつつあります。だからこそ今回の一件は、その相棒が「誰の言葉に従うのか」という問いを、静かに突きつけてきました。
思い返せば、私たちは2025年6月にも、よく似た光景を目にしています。Aim Security が報告したゼロクリック型攻撃「EchoLeak」です。あのときはメールを開くだけ、今回はリンクを一度クリックするだけ。手口は少しずつ姿を変えながら、同じ Microsoft 365 Copilot という舞台で繰り返されています。
便利さを手放す必要はありません。けれど、リンクを一つ開くという小さな動作の裏側で何が起きうるのかを、少しだけ想像してみる——その習慣が、これからの私たちを守る一歩になるのかもしれません。こうした変化のひとつひとつを、これからもみなさんと一緒に見つめていきたいと思います。
