JP



JP
BigGo MagBigGoについて採用情報お問い合わせUser Termsヘルプセンター
© 2025 BigGo
インストール
BigGo価格比較ヘルパー
ニュース
テクノロジー
セキュリティ
Software
GitHub
会社
Microsoft

Microsoft Copilot が数千のプライベート GitHub リポジトリを露出

BigGo Editorial Team
Microsoft Copilot が数千のプライベート GitHub リポジトリを露出

Microsoft の AI アシスタントが、隠されているべき情報を明らかにしていることが発覚し、世界中の開発者にとって深刻なセキュリティ上の懸念が生じています。セキュリティ研究者たちは、Microsoft Copilot がプライベートに設定された GitHub リポジトリのコンテンツにアクセスして公開できることを発見し、機密性の高い企業データや認証情報が露出する可能性があります。

セキュリティ侵害の発見

AI 関連の脅威に焦点を当てたサイバーセキュリティ企業 Lasso の研究者たちが、Microsoft Copilot の重大な脆弱性を発見しました。チームは、Copilot が彼ら自身のプライベートに設定された GitHub リポジトリにアクセスできることを発見しました。このリポジトリは一時的にパブリックになった後、プライベートステータスに戻されましたが、その短い期間で Microsoft の Bing 検索エンジンがコンテンツをインデックス化してキャッシュに保存するのに十分でした。リポジトリが適切に保護された後でも、適切な質問で促すと Copilot は引き続きこの非公開情報にアクセスして公開していました。

露出の規模

最初の発見に続き、Lasso はより広範な調査を行い、警戒すべき結果を明らかにしました。セキュリティ企業は、2024年にプライベートに設定されたものの、Microsoft Copilot を通じてアクセス可能なままとなっている20,000以上の GitHub リポジトリを特定しました。この露出は IBM 、 Google 、 PayPal 、 Tencent 、そして Microsoft 自体を含む推定16,000の組織に影響を与えています。このセキュリティ問題の範囲は広範囲に及び、テクノロジー業界全体で知的財産、企業データ、およびセキュリティ認証情報を危険にさらす可能性があります。

Lassoの研究からの主な発見:

  • 20,000以上のプライベート GitHub リポジトリが Copilot を通じてアクセス可能
  • 約16,000の組織が影響を受けている
  • IBM、Google、PayPal、Tencent、Microsoft などの主要テクノロジー企業が影響を受けている
  • 脆弱性は2024年11月に Microsoft に報告された
  • Microsoft はこの問題を「低重要度」に分類
AI セキュリティ侵害により、組織全体で大規模に露出した個人データの広がりを強調する相互接続されたテクノロジー
AI セキュリティ侵害により、組織全体で大規模に露出した個人データの広がりを強調する相互接続されたテクノロジー

リスクにさらされている機密情報

露出したリポジトリには、悪意のある行為者によって悪用される可能性のある非常に機密性の高い情報が含まれている可能性があります。Lasso の調査結果によると、サイバー犯罪者は Copilot を操作して、アクセスキー、セキュリティトークン、独自のコードなどの機密情報を明らかにさせる可能性があるとのことです。セキュリティ企業は、この露出による潜在的な被害を軽減するために、影響を受けた組織に対して、侵害された可能性のあるセキュリティ認証情報をすぐに更新または取り消すよう勧告しました。

Microsoft の対応

Lasso が2024年11月に Microsoft にこの脆弱性を報告した際、同社の反応は驚くほど軽視するものでした。Microsoft はこの問題を低重大度と分類し、キャッシュの動作を許容可能と説明しました。Microsoft は2024年12月に Bing から影響を受けたデータに関連するキャッシュされた検索結果を削除しましたが、Lasso は Copilot がそのデータを AI モデル内に保持しているため、適切なプロンプトを通じて情報にアクセスできる可能性が残っていると警告しています。

AI セキュリティに関する広範な影響

この事件は、AI システムがどのようにトレーニングされ、どのような情報を保持しているかについての懸念が高まっていることを浮き彫りにしています。AI チャットボットやアシスタントがトレーニングデータのためにインターネットを継続的にスキャンする中で、一時的に公開されていた情報や広く配布されることを意図していなかった情報を取得して保存する可能性があります。このデータ収集と保持に関する規制の欠如は、特に機密性の高い企業情報や個人データを扱う場合に重大なセキュリティリスクを生み出します。

開発者のための予防措置

この発見を受けて、GitHub を使用している開発者や組織はリポジトリのセキュリティ慣行を見直すべきです。機密リポジトリの一時的な公開露出でも、AI システムがその情報をインデックス化して保持するため、長期的なセキュリティリスクにつながる可能性があります。セキュリティ認証情報の定期的な更新、リポジトリの可視性設定の慎重な管理、および潜在的に露出した情報の監査は、AI を活用した開発環境において不可欠な実践となりつつあります。

関連ニュース