セキュリティ企業Varonisが、Microsoft Copilotにおいてワンクリックでセッションを乗っ取り、機密データを無制限に窃取できる深刻な脆弱性「Reprompt」を発見しました。正規のMicrosoftリンクをクリックするだけで攻撃が成立し、プラグインやユーザー操作を一切必要としない点が特徴です。
The Hacker Newsによると、Reprompt攻撃は3つの技術を組み合わせています。まず「P2P(Parameter to Prompt)インジェクション」でCopilotのデフォルトURLパラメータ「q」を悪用し、URLに直接プロンプトを埋め込みます。次に「ダブルリクエスト」と「チェーンリクエスト」を組み合わせて、被害者のセッションを密かに窃取します。Varonisのレポートによると、すべてのコマンドはサーバーから送信されフォローアップリクエストに隠されているため、被害者は初回クリック後にどのデータが流出したかを特定できず、クライアント側の監視ツールでも検出不可能でした。
さらに衝撃的なのは、Copilotチャットを閉じた後も攻撃者が制御を維持できる点です。流出可能なデータ量や種類に制限はなく、最初の1クリック以降はユーザー操作なしで窃取が継続されました。Hacker Newsでは「クライアント側監視ツールでは検出不可能」という点が衝撃的との声があがり、Redditでは「Microsoft 365 Copilotエンタープライズ版は影響なし」との情報に安堵の声も見られました。
Varonisは2025年8月31日にMicrosoftへ責任ある開示を行い、2026年1月13日のPatch Tuesdayで修正パッチが配布されています。