Microsoft の AI コパイロット Copilot に重大なセキュリティ脆弱性が発見されました。SearchLeak と呼ばれる攻撃手法を使用することで、ユーザーの 2 段階認証(2FA)コードが盗聴される可能性があることが明らかになっています。

SearchLeak 攻撃の仕組み

SearchLeak は、LLM(大規模言語モデル)の検索機能とプロンプト処理の設計上の弱点を悪用した攻撃です。Copilot が Web 検索結果をテキストとして処理する際、攻撃者が細工した Web ページを検索結果に混ぜ込むことで、Copilot が誤って機密情報(2FA コードなど)を出力させることができます。

具体的には:

  1. ユーザーが Copilot に検索クエリを送信
  2. Copilot が Web 検索を実行
  3. 攻撃者が制御する Web ページが検索結果に含まれる
  4. その Web ページに埋め込まれた指示により、Copilot が機密情報を漏らす

この攻撃の危険な点は、ユーザーが意図的に悪意あるサイトにアクセスしなくても、検索結果の一部として自動的に読み込まれることです。

LLM セキュリティが繰り返し失敗する理由

この脆弱性は、業界が直面する根本的なセキュリティ課題を示唆しています。LLM は本質的に「与えられたテキストに従う」設計となっており、信頼できないデータソースから情報を処理するとき、その区別をつけることが困難です。

Ars Technica の報告によれば、このようなプロンプトインジェクション攻撃は何度も繰り返されていながら、LLM の基本設計が変わらない限り、同様の脆弱性が次々と現れ続けるとのことです。

ユーザーへの影響と対策

Copilot を日常的に使用しているユーザーは、以下の点に注意が必要です:

  • 検索結果の情報には機密情報(パスワード、認証コード)が含まれないようにする
  • Web 検索機能を使う際には、扱うデータの機密性を認識する
  • Microsoft 側からのセキュリティアップデートを注視する

Microsoft はこの脆弱性を確認済みであり、セキュリティパッチのリリースが期待されています。

業界への警鐘

SearchLeak のような攻撃は、AI ツールが企業の内部システムやプロセスに統合される際に、どの程度のセキュリティを必要とするかという議論を加速させるでしょう。特に金融機関や医療機関など、機密性の高い環境で LLM を活用する際には、このような脆弱性への対策が必須となります。

エンジニアや企業 IT 担当者は、Copilot などの LLM ベースツールを導入する際には、この種の脆弱性を前提とした運用設計が求められます。