マイクロソフト・コパイロットは、組織の機密電子メールに許可なくアクセスしていた。
マイクロソフトは、マイクロソフト365コパイロットのバグが、AIアシスタントに機密メールへのアクセスを誤って許可していたことを認めた。
Bleeping Computerによると、1月21日に最初に検出されたバグ(CW1226324として追跡)に関するサービスレポートは、Copilotの「work tab」チャット機能に影響を与える。これにより、ユーザーの送信済みフォルダや下書きフォルダ内のメールを読んで要約することができる。さらに問題なのは、自動化ツールがアクセスできないように明確に設計された機密ラベルが付けられた電子メールの読み取りと要約に、AIがアクセスできた ことだ**。**
マイクロソフトはこの問題をBleeping Computerに確認した際、次のように述べた:
Microsoft 365 Copilotの “work tab “チャットは、これらの電子メールメッセージに機密性ラベルが適用され、DLPポリシーが設定されているにもかかわらず、電子メールメッセージを要約しています。
シリコンバレーのテック大手はまた、「コードの問題により、機密ラベルが設定されているにもかかわらず、送信済みアイテムや下書きフォルダのアイテムがCopilotによってピックアップされている」と述べた。 マイクロソフトは現在、2月上旬にこのバグの修正プログラムの展開を開始したことを確認している。水曜日にマイクロソフトは、展開を監視しており、修正が機能していることを確認するために一部のユーザーに連絡を取っていると述べた。
生産性を高めるためにCopilotを使用するのはリスクに見合わない
マイクロソフトは、AIであるCopilotのMicrosoft 365の全アプリへの展開を、個人使用だけでなく、企業の労働力統合のためにも推進している。2025年9月、ユーザーがAIエージェントと対話できるマイクロソフトのAI搭載チャット「Copilot Chat」が、Microsoft 365のビジネス顧客向けにExcel、Word、Outlook、PowerPoint、OneNoteに展開された。それからわずか4カ月後の今、バグによってマイクロソフト365ユーザーの機密データが漏洩した。
コパイロット・チャットのようなAIアシスタントの使用は、生産性の向上とワークフローのスピードアップのためにハイテク大手によって世界的に宣伝されているが、明確なことは、新しく開発されたAI技術は、特に機密情報を保護する必要がある組織にとって、極度のセキュリティとプライバシーのリスクになり得るということである。
値上げ、AI、そして1つの悪いバグ:さようなら、電子メールの機密性!
今日、多くの企業がマイクロソフト・アウトルックを使用している。その理由のほとんどは、ワードやエクセルといったマイクロソフトのオフィス・ツールにバンドルされているからだが、最近の動向は、特に電子メールについては、代替ツールへの切り替えがますます魅力的になっていることを示している。
-
2026年1月には、感度ラベルとDLPポリシーが設定されているにもかかわらず、Copilot Chatが電子メールを要約してしまうというバグが発生した。
-
2025年、マイクロソフトは2026年7月からのMicrosoft 365の大幅値上げを発表。
-
2025年9月、MicrosoftはCopilot ChatをExcel、Word、Outlook、PowerPoint、OneNoteに展開し、Microsoft 365の有料ビジネス顧客を対象とした。
これらから明らかになることが一つある: もしあなたのビジネスがMicrosoft 365を使用しているなら、ベンダーロックインをやめ、機密情報を保護する時です。幸いなことに、マイクロソフト製品には優れた代替製品がある。
ベンダーロックインをやめる時だ
マイクロソフトが遭遇したセキュリティ問題は、これが最初でも最後でもない。
-
2024年、中国がマイクロソフトのメール・サーバーをハッキングした後、米国政府は新機能を追加する前にセキュリティ・パッチを当てるようマイクロソフトに要請した。
-
2025年には、企業が遵守すべきデータ保護法を尊重していないとして、企業は「新しいアウトルック」に乗り換えないよう警告された。
-
2025年、フランスにいるマイクロソフトの弁護士が、たとえヨーロッパのデータセンターに保存されていたとしても、マイクロソフトでホストされているすべてのデータは、警告なしにアメリカ政府によってアクセスされる可能性があることを確認したため、マイクロソフトはヨーロッパのデジタル主権の流れに火をつけた。
Microsoft 365にCopilotが統合され、急速に発展しているため、個人と組織のデータはリスクにさらされたままである。
Microsoft 365のビジネスプランでCopilotが展開されてからわずか数カ月後にこのバグが発表されたことで、AIアシスタントが電子メールにふさわしくない理由と、Tuta Mailのようなエンドツーエンドの暗号化された電子メールを使用することの重要性が浮き彫りになった。