何が起きたか
Varonis Threat Labs は 2026 年 6 月 15 日に 'SearchLeak' を開示しました — CVE-2026-42824、Microsoft により Critical に評価(CVSS 6.5)。攻撃は M365 Copilot Enterprise Search の 3 つの弱点をチェーンします:(1) 'q' URL パラメータ経由のパラメータからプロンプトへのインジェクション、(2) 注入された画像タグが出力サニタイゼーション完了前に発火する HTML レンダリング競合状態、(3) Bing の画像検索エンドポイントを使用する Bing SSRF — CSP でホワイトリスト化されている。正規の microsoft.com リンクへの単一クリックで、メール、カレンダーイベント、OneDrive/SharePoint ファイル、および MFA トークンを静かに流出させます。Microsoft は 2026 年 6 月初旬にサーバー側でパッチを適用しました。顧客側でのアクションは不要です。野生での悪用は確認されていません。
なぜ重要か
SearchLeak はセキュリティ研究者によって開示された 3 番目の主要な Copilot 流出チェーンです(EchoLeak CVE-2025-32711 および Reprompt の後)。繰り返されるパターンを確立します:プロンプトインジェクション + Web セキュリティプリミティブ(SSRF、HTML インジェクションタイミング)= AI アシスタント内の高影響複合攻撃面。これは、AI 統合エンタープライズ検索が従来の URL フィルタリングおよび CSP コントロールをバイパスする根本的に新しい流出面を作成することを示しています。
適用範囲
M365 Copilot Enterprise Search 顧客:サーバー側でパッチ済み、アクション不要。セキュリティアーキテクトは AI アシスタントレンダリングパイプライン、CSP ホワイトリスト(特に *.bing.com および同様の信頼されたドメイン)を確認し、AI ストリーミング出力を信頼されないものとして扱うべきです。脅威モデラーは、LLM 統合エンタープライズ製品内の標準攻撃ベクトルとして P2P インジェクションを含める必要があります。