Microsoftが提供するAIアシスタント「Copilot」に、監査ログを残さずファイルへアクセスできてしまう重大な問題が存在していたことが判明しました。
この事実を発見したのはセキュリティ企業のCTO ザック・コーマン氏。彼は「普通に使っていたら気付いた」と述べており、偶然の使用中に深刻な挙動が確認されたといいます。
監査ログを回避する危険な挙動 🕵️♂️
通常、Copilotに「ファイルを要約して」と依頼すると、要約結果とともに ファイルへのリンク が提示されます。
その際には監査ログに「Copilotが代理でアクセスした記録」が残るため、セキュリティ面でも証跡が確保されます。
ところが「リンクは出さずに要約して」と指示すると……
👉 要約は生成されるのに、監査ログには一切記録が残らない
という致命的な挙動が発生するのです。
監査ログは、インシデント調査や裁判での証拠にもなる重要な要素。それが「残らない」となると、企業にとっては大きなリスクとなります。
Microsoftの対応は“こっそり修正” 😶
コーマン氏はすぐにMicrosoftへ報告しました。
通常であれば、問題が再現されると「再現中」→修正が始まれば「開発中」とステータスが変わる仕組みですが、今回は 「再現中」のままこっそり修正されていた といいます。
さらに、彼が「CVE番号(一般公開される脆弱性識別子)は?」と尋ねたところ、Microsoftは以下のように回答しました。
「CVEはユーザーが手動で対策を行う必要がある場合のみ発行されます。今回はCopilotに自動的に修正をプッシュするので、CVEは割り当てません」
つまり、公式なCVE登録はなく、ユーザーへの通知も行われない という対応だったのです。
セキュリティ専門家の批判 🚨
コーマン氏はこの対応に強く疑問を呈しています。
「監査ログに依存してセキュリティ要件を満たしている企業は多い。誤記録や欠落が発生していたのに、Microsoftが通知すらしないのは異常だ」
また、監査ログが誤っている可能性をMicrosoftが認識していながら告知しないことは、
「他の事実も隠しているのでは?」という疑念を招いています。
なぜ大問題なのか? ⚠️
- 企業リスク:監査ログが改ざんされたも同然で、コンプライアンス違反や訴訟リスクが高まる
- セキュリティ事故の見逃し:インシデント調査に必要な証跡が欠落
- 透明性の欠如:Microsoftが問題を“なかったこと”にしようとしている
特に金融や政府系機関など ログ依存度が高い組織にとって致命的 です。
まとめ ✍️
- Microsoft Copilotに「監査ログを残さないアクセス」が可能になる不具合が存在
- 発見者はセキュリティ企業CTOのザック・コーマン氏
- MicrosoftはCVEも発行せず、ユーザー通知なしで“静かに修正”
- 専門家は「透明性欠如」「企業への大きなリスク」と警鐘
