🔥 この記事の詳細
2026-06-15 更新
A
今日中

Microsoft 365 Copilot Enterpriseにおいて、巧妙に細工されたURLを通じてメールやOneDrive、SharePointから機密デ…

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品Microsoft 365
🔢 CVECVE-2026-42824
📅 2026-06-15📰 bleeping
📌 一言でいうと
Microsoft 365 Copilot Enterpriseにおいて、巧妙に細工されたURLを通じてメールやOneDrive、SharePointから機密データを盗み出す脆弱性「SearchLeak」が発見されました。この攻撃は、プロンプトインジェクション、HTMLレンダリングのレースコンディション、およびBingのSSRFを利用したCSPバイパスを組み合わせた3段階のチェーンで構成されています。Microsoftはこの脆弱性を修正済みであり、CVE-2026-42824として重要度「緊急」に指定しています。
🔍該当判定
  • Microsoft 365 Copilot Enterprise(法人向け有料プラン)を導入して利用している
  • 社員がCopilotを使ってメール、OneDrive、SharePoint内の社内データを検索・要約している
  • 外部から送られてきたURLを、Copilotが有効な状態でクリックする運用がある
上記いずれにも該当しない → 静観でOK
該当時の対応
Microsoftが提供する最新のアップデートを適用し、不審なURLをクリックしないようユーザーに注意喚起してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なURLのクリックに関するご注意(Microsoft 365 Copilot)

お疲れさまです。情報システム担当です。
Microsoft 365 Copilotにおいて、悪意のあるリンクをクリックすることで、メールや保存ファイルなどの機密情報が外部に送信されてしまう脆弱性が報告されました。

ご協力をお願いしたいこと:
1. 知らない送信元からの不審なURLやリンクは絶対にクリックしないでください。
2. 万が一、不審なリンクをクリックし、Copilotが予期せぬ動作をした場合は、すぐに情報システム担当まで報告してください。

対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious URLs (Microsoft 365 Copilot)

Dear employees,

A vulnerability has been reported in Microsoft 365 Copilot where clicking a malicious link could lead to the theft of sensitive information from your emails and files.

Requested Actions:
1. Do not click on suspicious URLs or links from unknown senders.
2. If you have clicked a suspicious link and noticed unusual behavior in Copilot, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】Microsoft 365 Copilot CVE-2026-42824 対応について

お疲れさまです。Microsoft 365 Copilotにおける脆弱性「SearchLeak」に関する情報共有です。

■ 概要
3つの脆弱性(P2Pインジェクション、HTMLレンダリングのレースコンディション、Bing SSRFによるCSPバイパス)を組み合わせることで、ユーザーのメール、OneDrive、SharePointからデータを窃取される可能性があります。CVSS重要度はCriticalです。

■ 影響範囲
- Microsoft 365 Copilot Enterprise

■ 対応手順
1. Microsoftによる最新のセキュリティ更新プログラムが適用されているか確認してください(本件は月初に修正済み)。
2. 組織内での不審なURLへのアクセスログを確認し、不審な挙動がないか監視してください。

■ 参考情報
- CVE-2026-42824

対応優先度: 高
対応期限: 速やかに確認
Subject: [Technical Info] Microsoft 365 Copilot CVE-2026-42824 Mitigation

Dear IT/Security Team,

This is a technical update regarding the 'SearchLeak' vulnerability in Microsoft 365 Copilot.

■ Overview
An attack chain combining parameter-to-prompt injection, an HTML rendering race condition, and a CSP bypass via Bing SSRF allows for the exfiltration of sensitive data from mailboxes, OneDrive, and SharePoint. The severity is rated as Critical.

■ Scope
- Microsoft 365 Copilot Enterprise

■ Mitigation Steps
1. Verify that the latest Microsoft security updates are applied (the fix was released earlier this month).
2. Monitor access logs for suspicious URLs and anomalous Copilot activity.

■ Reference
- CVE-2026-42824

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
hackernewsMicrosoft 365 Copilotのエンタープライズ検索における脆弱性(SearchLeak)
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-15 のまとめ🔍 記事を検索