脆弱性の概要:1回の検索操作で2FAコードが盗まれる
Microsoft Copilotに高危険度の脆弱性(CVE番号は未公開)が発見された。攻撃者は巧妙に作成された悪意あるウェブページやメールを通じてユーザーにCopilotの検索機能を起動させ、ユーザーが気づかないうちにブラウザにキャッシュされた2FA認証コードを窃取できる。この脆弱性はセキュリティ研究者のThomas Webbによって発見され、「SearchLeak」と命名された。
具体的には、Copilotの「検索+Q&A」モードによってログイン認証情報や認証トークンなどのブラウザ内の機密データが呼び出せる状態になっている。Webbの発見によれば、ユーザーが悪意あるiframeを埋め込んだウェブサイトにアクセスした際、Copilotがそのサイトのコンテンツを信頼できるソースと誤認し、内部のJavaScript命令を実行してしまう。これらの命令こそが2FA認証コードを窃取するための攻撃ペイロードである。
「これは、銀行の窓口でパスワードを入力している最中に、隣から機械の手が突然伸びてきてワンタイムパスワードを書き写していくようなものだ。」——セキュリティ研究者Thomas Webbは報告書の中でこのように描写している。
なぜこれはLLMセキュリティの構造的失敗と言えるのか?
大規模言語モデル(LLM)のセキュリティ機構は主に「プロンプトインジェクション防御」に依存している。すなわち、正規表現やコンテンツフィルタリングなどによって悪意ある命令を含む可能性のあるユーザー入力を遮断する仕組みだ。しかしSearchLeakはこれらの従来の防御を回避した。モデル自体を直接攻撃するのではなく、LLMが「検索コンテキスト」において自動的に信頼するブラウザデータを悪用したのである。
編集注:プロンプトインジェクション防御は本質的に「いたちごっこ」だ。モデルがオペレーティングシステム(ChromeのAPI、ファイルシステム、ネットワークリクエストなど)へのアクセスを許可されている場合、言語レベルに特化したあらゆるセキュリティ戦略は必ず機能しなくなる。CopilotやClaude CodeなどのAIアシスタントには次第により多くのシステム権限が付与されているが、セキュリティベンダーはいまだに「最小権限」アーキテクチャを確立できていない。たとえば、2FA認証コードのようなメタデータがなぜAIアシスタントから直接取得できるのか?これは設計上の根本的な欠陥である。
類似の脆弱性は、2024年の「DAN」攻撃(AIの制限を突破する攻撃)や2025年の「エージェントジェイルブレイク」事件においても繰り返し発生している。業界はセキュリティインシデントが発生してからパッチを当てる習慣があり、AIアシスタントの権限モデルを根本から見直そうとしていない。
影響範囲と修正に関する推奨事項
この脆弱性は、Copilotを有効化してMicrosoftアカウントにログインしているEdgeおよびChromeのすべてのユーザーに影響する。攻撃者は2FAに対応するあらゆるウェブサイト(Gmail、銀行、企業VPNなど)の短期有効な認証コードを窃取できる。Microsoftは報告受領後48時間以内に緊急アップデートを配信し、Copilotのブラウザキャッシュ内の認証トークンへのアクセスを制限することで問題を修正した。しかし研究者らは、これは一時的な解決策に過ぎず、同様の攻撃が他のAIツール(Google GeminiやChatGPTのウェブ検索機能など)で再現される可能性があると警告している。
ユーザーは今すぐ以下の対策を講じることができる:1)不要なAIプラグインの権限を無効にする;2)ブラウザの設定でAIアシスタントのパスワードマネージャーや認証トークンへのアクセスを制限する;3)SMSやアプリで生成する2FAコードの代わりにハードウェアセキュリティキー(FIDO U2F)の使用を検討する。
まとめ:LLMセキュリティに必要なのは「パッチ当て」ではなく「セキュア・バイ・デザイン」
AIアシスタントにシステムレベルの脆弱性が発覚するたびに、業界の「先にリリースして後で修正する」という考え方への問いかけとなる。モデルが人間の言語を理解しながらオペレーティングシステムも制御できるようになった今、従来のWebセキュリティとAIセキュリティの間の溝は攻撃者にとっての温床となりつつある。SearchLeakが示すのは、アーキテクチャのレベルでAIアシスタントと機密データを分離できなければ、私たちは永遠に次の脆弱性を追いかけ続けることになるということだ。
本記事はArs Technicaより編集翻訳。
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接