CopilotのAIチャットボットが悪用されて情報漏洩につながるとの指摘

DALL-E 3で生成

　ZenityのCTO兼共同創設者であるMichael Bargury氏は、セキュリティカンファレンス「Black Hat USA 2024」において、生成AIのMicrosoft Copilotを悪用したハッキング手法について講演した。

　同氏によれば、Microsoft Copilot Studioで開発された企業独自のカスタムCopilotのボットがWeb上に誤って公開されているケースがあるという。標準の設定や過剰な許可を求めるプラグインなどが組み合わさることで、こうしたCopilotは意図しないデータ漏洩や不正アクセスのリスクを招く可能性があるとしている。

　講演では、Web上に公開されているCopilotをスキャンし、ファジングと生成AIを使用してCopilotを悪用し、企業の機密データを抜き出すツール「CopilotHunter」が紹介され、誤って公開されたCopilotを悪用して企業の機密情報を不正に取得する手法が存在することも指摘された。