Microsoft Copilot 脆弱性を修正、URLクリックでチャット履歴が流出するリスクを解消
Microsoft Copilotに、1クリックでチャット履歴や位置情報が盗まれる深刻な脆弱性が発見され、修正されました。この脆弱性は企業向けセキュリティも回避する巧妙なものでした。
たった1回のクリックで、あなたのAIとの対話内容がすべて盗まれる可能性がありました。Microsoftは、AIアシスタント「Copilot」に存在していた、URLをクリックするだけで機密データが外部に流出する深刻な脆弱性を修正しました。
Microsoft Copilot 脆弱性の詳細とリスク
セキュリティ企業 Varonis のホワイトハッカーチームによって発見されたこの脆弱性は、悪意のあるプロンプトを含むURLをユーザーがクリックすることで発動します。攻撃が開始されると、ユーザーの名前、位置情報、さらには Copilot のチャット履歴に含まれる特定のイベント詳細など、広範囲な個人データが自動的に抽出されます。
驚くべきことに、ユーザーがリンクをクリックした直後に Copilot のタブを閉じても、攻撃プロセスは背後で継続される仕組みになっていました。一度のクリック以降は一切の対話を必要とせず、バックグラウンドでデータの窃取が行われるという非常に巧妙な手口です。
既存のセキュリティを回避する手口
この攻撃のもう一つの脅威は、企業の「エンドポイントセキュリティ」を完全にバイパスした点にあります。Varonis の報告によると、従来の検出ソフトやエンドポイント保護アプリをすり抜け、企業ネットワーク内でも検知されることなくデータが盗み出されました。現在、Microsoft はこの脆弱性を完全に修正済みであると発表していますが、AI利活用の裏に潜むリスクを浮き彫りにした事例と言えます。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
Linuxサーバーを狙う新型マルウェア「VoidLink」が発見されました。30以上の攻撃モジュールを備え、AWSやAzureなどのクラウド環境を特定して高度な攻撃を仕掛けます。
Instagramで1,750万人のデータ流出疑惑が浮上。Malwarebytesの告発に対し、公式は「データ侵害はない」と否定しつつ不具合の修正を発表。Instagram パスワードリセット 2026 騒動の真相を詳しく解説します。
データセキュリティのCyeraが、シリーズFで4億ドルを調達し評価額90億ドルを達成。わずか6カ月で評価額が1.5倍に急騰した背景には、AI普及に伴うデータ保護需要の拡大があります。Fortune 500の20%を顧客に抱え、収益は3倍以上に成長。Blackstoneが主導した最新の資金調達動向を詳しく解説します。
CrowdStrikeがアイデンティティ管理のSGNLを7億4000万ドルで買収。AI攻撃に対抗するためFalconプラットフォームを強化。2026年のサイバーセキュリティM&A動向を解説。
Linuxサーバーを狙う新型マルウェア「VoidLink」が発見されました。30以上の攻撃モジュールを備え、AWSやAzureなどのクラウド環境を特定して高度な攻撃を仕掛けます。
Instagramで1,750万人のデータ流出疑惑が浮上。Malwarebytesの告発に対し、公式は「データ侵害はない」と否定しつつ不具合の修正を発表。Instagram パスワードリセット 2026 騒動の真相を詳しく解説します。
データセキュリティのCyeraが、シリーズFで4億ドルを調達し評価額90億ドルを達成。わずか6カ月で評価額が1.5倍に急騰した背景には、AI普及に伴うデータ保護需要の拡大があります。Fortune 500の20%を顧客に抱え、収益は3倍以上に成長。Blackstoneが主導した最新の資金調達動向を詳しく解説します。
CrowdStrikeがアイデンティティ管理のSGNLを7億4000万ドルで買収。AI攻撃に対抗するためFalconプラットフォームを強化。2026年のサイバーセキュリティM&A動向を解説。