データが一時公開されたGitHubリポジトリの情報がCopilotを通じて漏洩する恐れについて

699ktb.ych6i 2025年2月27日

Contents

概要

セキュリティ研究者たちは、インターネットに一時的に公開されたデータが、MicrosoftのCopilotのようなオンライン生成AIチャットボットに長期間残存する可能性があると警告しています。

イスラエルのサイバーセキュリティ企業Lassoによると、世界の大手企業が所有する数千の公開GitHubリポジトリが影響を受けており、特にMicrosoftのリポジトリが目立ちます。

Lassoの共同創設者オフィル・ドラーロ氏は、自社のGitHubリポジトリがCopilotに表示されるのを確認したと述べています。

このリポジトリは一時的に公開され、その後プライベートに設定されていましたが、Bingのキャッシュ機能によってデータが保存され続けていたのです。

Lassoは2024年に一時的に公開されたリポジトリのリストを作成し、現在は削除またはプライベートに設定されたリポジトリを特定しました。

その結果、2万を超えるGitHubリポジトリがCopilotを通じて依然としてアクセス可能であり、1万6千以上の組織が影響を受けていることがわかりました。

具体的には、Amazon Web Services、Google、IBM、PayPal、Tencent、Microsoftなどが含まれており、特に知的財産や機密情報が漏洩する危険性があります。

ドラーロ氏は、影響を受けた企業に対して、漏洩した可能性がある鍵のローテーションを推奨していますが、企業からの応答はありませんでした。

Microsoftはこの問題を「低Severity」とし、キャッシュ機能は受け入れ可能と判断したものの、Copilotは依然としてデータにアクセスできるとLassoは指摘しています。

iPhone 16Eレビュー：コストパフォーマンスと機能のバランスを探る