招待1件が思わぬ入口に

一通のカレンダー招待が、普段使うツールを狙う入り口になる可能性が報告されました。セキュリティ研究者は、操作された招待を使ってPerplexityのCometという機能を誤作動させ、ローカルファイルの窃取や1Passwordアカウントへの不正アクセスが起き得ることを実証しました。今回の報告はThe Decoderの記事に基づくもので、被害の規模はまだ明らかになっていません。

Cometとは何か、簡単に説明します

CometはPerplexityの「エージェント型」機能です。エージェント型とは、ユーザーに代わって自動で作業を行う仕組みのことです。こうした自動化は便利ですが、誤用されるとローカルのファイルや連携サービスにアクセスされる恐れがあります。

何が問題だったのか

問題のポイントはカレンダー招待の扱いです。見た目は普通の招待でも、操作を誘導する仕組みが仕込まれていると、Cometが誤った動作をしてしまう可能性があります。特に1Passwordのようなパスワード管理サービスと連携している場合、影響は大きくなり得ます。

誰が危険か

日常的にCometを使い、1Passwordの連携を有効にしているユーザーがリスクにさらされます。個人利用者だけでなく、企業で1Passwordを導入している組織も注意が必要です。現時点で具体的な被害例は公表されていませんが、脅威の入り口が身近にあることを示しています。

今すぐできる対策

招待の扱い方を見直すだけでリスクは下がります。具体的には次の対策がおすすめです。

  • 不審なカレンダー招待は受け入れ前に差出人を確認してください。差出人が分からなければ拒否しましょう。
  • CometやPerplexityのソフトは最新の状態に更新してください。アップデートで修正される可能性があります。
  • 1Passwordでは二要素認証を必ず有効にしてください。攻撃の難度が大きく上がります。
  • 不要な連携は切断し、権限は必要最小限にしてください。最小権限の原則で被害範囲を減らせます。
  • ログや監査の仕組みを用意し、異常なアクセスがないか監視してください。
  • 万一に備えて重要な秘密情報はローテーション(更新)を検討してください。

例えるなら、カレンダー招待は封筒の差出人を偽装された手紙のようなものです。差出人をきちんと確認する習慣が被害を防ぎます。

これから注目すべき点

今回の報告は警鐘です。Perplexity側と1Password側の公式な調査結果が待たれます。新しい情報が出次第、アップデートをチェックしてください。安全対策は日常の小さな習慣から始められます。普段使う招待や連携設定を見直すことが、最も手堅い第一歩です。