Microsoft 365 Copilotに脆弱性——検索機能を悪用しメールや組織内データを盗む攻撃手法

概要

Microsoft 365 Copilotに脆弱性が発見された。攻撃者が検索機能を悪用することで、ユーザーのメールや組織内の機密データを窃取できる可能性があることをPC Watchが報じた。

詳細

• Microsoft 365 CopilotはメールやドキュメントなどM365サービス全体にアクセスするAIアシスタント
• 発見された脆弱性により、悪意ある入力（プロンプトインジェクションの一種）を通じてCopilotを操作し、組織内データを外部に送信させることが可能
• 攻撃シナリオとしては、悪意あるコンテンツを含むメールや共有ファイルをCopilotが処理する際に命令が注入される
• Microsoftはこの脆弱性の報告を受け対応中とされており、企業ユーザーには注意が必要
• AIアシスタントへのプロンプトインジェクション攻撃の典型例として、エンタープライズAI導入リスクを示す事例

参照

• 出典: https://pc.watch.impress.co.jp/docs/news/2117930.html
• はてなブックマーク数: 10