- MicrosoftのM365 Copilotで監査ログが記録されない脆弱性が見つかり、ファイルアクセスがログに残らない問題が発生
- 単にCopilotに特定の方法で動作するよう依頼するだけで、監査記録なしにファイルへアクセス可能であり、これは内部不正の脅威や法的規制違反のリスクにつながる可能性がある
- 研究者はMSRCに報告したが、Microsoftは公式ポリシーと異なりCVEを発行せず、顧客にも通知しなかった
- Microsoftはこの脆弱性を「重要(Important)」レベルにのみ分類し、自動更新で解決済みであるとして別途通知は不要と判断
- しかしこれは、HIPAAなどの規制業界で監査ログに依存する企業に深刻なセキュリティ・法的問題を引き起こす可能性があり、Microsoftの透明性不足に大きな批判が集まっている
Copilotの監査ログ脆弱性: 概要と影響
- Microsoftが積極的に導入を進めている代表的なAIサービスCopilotで、ユーザーの要求次第でファイルアクセス履歴が監査ログに残らない欠陥が見つかった
- 本来は、M365 Copilotがファイルを要約すると、そのファイルへのアクセス履歴が監査ログに記録されるべきであり、これは組織内の情報セキュリティの中核である
- しかし、Copilotにファイル要約結果へファイルリンクを含めないよう求めた場合、そのログ自体がまったく記録されない現象が発生する
- 例えば、従業員が退職前にCopilotを通じて大量のファイルを閲覧しても、ログなしで痕跡を残さず流出させることができる
- この脆弱性は意図的なハッキングではなく、偶然かつ自然に起こり得るもので、実際にブログ筆者が独自の機能テスト中に発見した
- ZenityのCTOであるMichael Barguryも、すでに1年前にこの脆弱性を発見してMicrosoftに報告していたが、今回の報告まで長期間放置されていた
MSRC(脆弱性報告)の問題点と対応不認定
- Microsoftは脆弱性報告に関する公式ガイダンスとプロセスを提供しているが、実際の対応過程ではそれが適切に守られていない
- 筆者がMSRCに報告した後、再現手順が完了していない段階でCopilotの機能が変わるなど、混乱した状況が発生した
- 報告ステータスの変更(再現 → 開発)などは進んだものの、進捗状況や判断根拠について明確なコミュニケーションが不足していた
- セキュリティ脆弱性に関するCVE発行の可否については、顧客側で直接の対応が必要な場合にのみ公式番号を付与するという説明を受けた
- しかしこれはMicrosoftの既存ポリシーと異なり、この脆弱性は単に「重要(Important)」等級として分類され、公開や通知は別途行われなかった
- 全体として、進捗追跡そのものが実際の措置とは無関係に見かけ上だけ更新されており、報告者にとっては非効率で不透明な体験だった
告知および顧客通知漏れの問題点
- Microsoftは今回の脆弱性について、CVEを発行せず、顧客にも通知しないと決定した
- これは誤操作でも容易に発生し得るエラーであるだけに、実際の組織で長期間にわたり監査ログが誤って記録されていた可能性がある
- 医療機関(例: HIPAA)など、法的・規制目的で監査ログを活用する組織も多いにもかかわらず、Microsoftは影響の事実を利用者に案内していない
- 監査ログは組織のセキュリティ、インシデント対応、法的証拠など多くの分野で中核的に利用されるが、Microsoftは関連事実について沈黙を貫いている
- このような姿勢は、ほかの潜在的なセキュリティ問題も未公表のまま処理され得ることを示唆しており、組織の信頼性に深刻な疑問を投げかけている
まだコメントはありません。