概要

Microsoft 365 Copilotには、機密性ラベルで保護された電子メールメッセージを誤って要約するセキュリティの脆弱性があります。この問題は、組織が設定したデータ損失防止（DLP）ポリシーをバイパスし、潜在的に重要な情報を非承認ユーザーに漏洩させます。

脆弱性詳細

この脆弱性はMicrosoftの参照ID CW1226324で追跡されており、2026年2月4日に最初に報告されました。問題の主な原因は、Copilotの「Work Tab」チャット機能が機密性ラベル付きのメールを要約する際、設定された制限ポリシーに関わらずそのようなメールを処理してしまうことです。

影響範囲

• 組織全体: Microsoft 365 Copilotが有効で、電子メールに機密性ラベルが設定されている場合、この脆弱性は広範な影響を及ぼします。
• 規制業界: 医療、金融、政府などの厳格な規制下にある組織では特に深刻です。これらの業界では、メールの機密性コントロールが法的要件であり、単なるベストプラクティス以上のものとなっています。

対応状況

Microsoftは2026年2月11日から修正プログラムを展開し始めました。影響を受けているユーザーの一部に対して修正が完了したことを確認するため、直接連絡を取りながら進行中です。

管理者へのアドバイス

Microsoft 365管理センターで参照ID CW1226324をチェックし、Copilotの活動ログからラベル付きコンテンツに対する異常なアクセスを確認することをお勧めします。完全な修正が展開されるまで、セキュリティチームは高度に機密的なメール通信を行う環境でのCopilotへのアクセスを一時的に制限することも検討してください。

元記事: https://gbhackers.com/microsoft-365-copilot-vulnerability/