情報セキュリティ機関PromptArmorがMicrosoft 365 Copilot Coworkの存在する提示注入の脆弱性を暴露、攻撃者は悪意のあるスキルファイルを通じて企業のSharePointやOneDriveの機密ファイルを漏洩させることが可能である。 (前提:GitHub Copilotが自動購読停止を呼びかけ:AI利用過多、低価格プランの経済学は完全に崩壊) (補足:Claude Cowork完全攻略:AIをチャットアシスタントからあなたのデジタル社員へ変える)この記事の目次Toggle* マイクロソフトは質問したいが、できていない * 攻撃手順* モデルが賢くなるほど、漏洩はより全面的に* 権限縮小が現時点で唯一の防御策5回のテスト、すべて成功。情報セキュリティ研究機関PromptArmorは先週、Microsoft 365のCopilot Cowork機能に完全再現可能なファイル漏洩攻撃チェーンが存在することを指摘した。攻撃者は81行のスキル設定ファイルに5行の悪意あるコマンドを埋め込むだけで、AIエージェントがユーザーの知らないうちにSharePointやOneDriveの企業機密ファイルを攻撃者の制御するサーバーへ送信させることができる。これは個別のモデルの問題ではない。Claude Opus 4.7とClaude Sonnet 4.6の両方で影響が確認されており、特にOpus 4.7はより「積極的」に動作し、検索範囲を拡大して、今週のすべてのCowork作業セッションで開かれたファイルも漏洩リストに含めている。### マイクロソフトは質問したいが、できていないこの攻撃の鍵は、公式ファイルと実際の動作の間のギャップにある。マイクロソフト公式の説明資料には、「Coworkは敏感な操作を行う前に、例えばメール送信やTeamsでのメッセージ投稿時に、あなたの同意を得る」と明記されている。しかし、PromptArmorの研究者がテストしたところ、受信者が自分自身の場合、このルールは直接無効になることが判明した。自分にメールを送る、Teamsで自分にメッセージを送るといった操作は、Copilot Coworkが自動的に実行し、承認確認のウィンドウは一切表示されず、ユーザー側の設定変更も不可能である。この詳細が、攻撃チェーンの決定的な突破口となっている。Copilot CoworkはMicrosoft 365のフロンティア機能であり、Microsoft Graphを通じてユーザーのクラウド全体の権限を取得し、企業テナント内のデータを読み取り操作できる。つまり、SharePointの財務報告書やOneDriveの人事資料、個人識別情報を含むすべてのファイルを閲覧可能だ。### 攻撃手順攻撃チェーンは全6ステップ:第一歩:被害者のSharePointまたはOneDriveに個人情報や財務資料を含む機密ファイルが保存されている。第二歩:被害者がネットからスキル設定ファイルをダウンロードし、Copilot Coworkにアップロードする。これは一般的な操作で、外部プラグインのインストールに相当する。Coworkのスキルファイルは、ユーザーのOneDriveの特定パスから自動的に読み込まれ、管理者の見える範囲は非常に限定的。第三歩:被害者がCopilot Coworkに今週の作業概要を整理させ、スキルの実行をトリガー。第四歩:埋め込まれた提示注入コマンドがエージェントを操作し、「事前認証済みダウンロードリンク」を取得させる。これらのリンクを悪意のあるHTML画像タグに埋め込み、攻撃者のサーバーへクエリパラメータとして送信させる。事前認証済みダウンロードリンクとは?簡単に言えば、認証情報を含むURLであり、誰でもこのリンクを取得すればMicrosoftアカウントにログインせずにファイルをダウンロードできる。第五歩:エージェントはユーザーにTeamsメッセージを送信し、その中にこれらの悪意ある画像タグを埋め込む。全行程でユーザーの承認は不要で、悪意の内容は全く見えず、メッセージを開いても異常はわからない。第六歩:ユーザーがTeamsメッセージを開いた瞬間、ブラウザが自動的に画像を読み込み、事前認証済みダウンロードリンクが攻撃者のサーバーへ送信される。攻撃者はいつでもリンクを開き、すべてのファイルをダウンロード可能。### モデルが賢くなるほど、漏洩はより全面的にPromptArmorのテストは、モデルの能力が高まるほど、この攻撃による損失が大きくなるという現象を浮き彫りにしている。最初は「自動」モードで、Claude Opus 4.7とClaude Sonnet 4.6の間で動的に切り替えながらテストを行った。後にOpus 4.7単体で検証した結果、同じ注入コマンドが完全に有効であることが確認された。この攻撃チェーンはすべてのテストで完全に成功し、ユーザーの具体的な質問内容には依存しない。いずれかのクエリがスキルの読み込みをトリガーすれば、注入は成功する。攻撃の持続性も非常に懸念される。Copilot Coworkはスケジュールタスクをサポートしており、定期的に自動実行させる指示を設定できる。攻撃者の注入設定がスケジュールに入り込むと、被害者は何もしなくても攻撃は静かに繰り返され、企業の機密情報が絶えず外部に流出し続ける。PromptArmorは、これは単一のパッチで修正できるソフトウェアのバグではなく、企業向けAIエージェントの設計アーキテクチャに内在するシステムリスクであると強調している。エージェントに複数システムにまたがる委任権限が付与されている場合、信頼の境界が崩壊し、全面侵入の入り口となり得る。### 権限縮小が現時点で唯一の防御策PromptArmorは報告書の中で、マイクロソフトに対して、Copilot Coworkのサンドボックス環境外へのデータ漏洩を直接許す脆弱性も指摘している。これは今回の研究とは別の問題であり、既に責任ある公開プロセスに入っている。今回公開された攻撃チェーンは、研究者が積極的に公開し、修正を待たずに明らかにした理由は、これはシステムアーキテクチャの設計に起因するリスクであり、特定の修正可能な脆弱性ではないためだ。ユーザーはこのリスクを理解した上で、受け入れるかどうかを判断すべきである。現時点での緩和策は、エージェントの行動範囲を制限することに集中している。管理者はSharePointの設定を通じてファイルのダウンロードを制限できる:Set-SPOSite -Identity <siteurl> -BlockDownloadPolicy $true、または機密性ラベルに基づきダウンロード機能をブロックする。その代償は機能の喪失であり、ユーザーはブラウザ上でファイルを閲覧できるだけで、ダウンロード、印刷、同期はできなくなる。Word、Excel、PowerPointなどのMicrosoft 365アプリも同様だ。これもまた、Microsoft Copilotエコシステムにおける最近の第二の大きなセキュリティ問題である。以前のEchoLeak(CVE-2025-32711)はCopilot個人版の提示注入脆弱性、Varonisの研究によるReprompt攻撃(CVE-2026-24307)はクリック一つで情報漏洩を引き起こす経路を明らかにした。Copilot Studioの間接提示注入脆弱性(CVE-2026-21520、CVSS 7.5)は修正済みだが、同様の問題はより広範なCopilot製品ラインに未だ根絶されていない。AIエージェントの能力の境界は、企業の情報セキュリティの新たな戦場となっている。ツールが「仕事を代行」できるようになると、そのアクセス権限は避けられず拡大し、付与された権限は潜在的な攻撃ベクトルとなる。エージェントの行動制限は、そのまま使い勝手の制限に直結し、この矛盾は今のところ完璧な解決策を持たない。
マイクロソフト Copilot Cowork に重大な脆弱性:AIエージェントがプロンプト攻撃により自動的に企業の機密ファイルを漏洩
情報セキュリティ機関PromptArmorがMicrosoft 365 Copilot Coworkの存在する提示注入の脆弱性を暴露、攻撃者は悪意のあるスキルファイルを通じて企業のSharePointやOneDriveの機密ファイルを漏洩させることが可能である。
(前提:GitHub Copilotが自動購読停止を呼びかけ:AI利用過多、低価格プランの経済学は完全に崩壊)
(補足:Claude Cowork完全攻略:AIをチャットアシスタントからあなたのデジタル社員へ変える)
この記事の目次
Toggle
5回のテスト、すべて成功。情報セキュリティ研究機関PromptArmorは先週、Microsoft 365のCopilot Cowork機能に完全再現可能なファイル漏洩攻撃チェーンが存在することを指摘した。
攻撃者は81行のスキル設定ファイルに5行の悪意あるコマンドを埋め込むだけで、AIエージェントがユーザーの知らないうちにSharePointやOneDriveの企業機密ファイルを攻撃者の制御するサーバーへ送信させることができる。
これは個別のモデルの問題ではない。Claude Opus 4.7とClaude Sonnet 4.6の両方で影響が確認されており、特にOpus 4.7はより「積極的」に動作し、検索範囲を拡大して、今週のすべてのCowork作業セッションで開かれたファイルも漏洩リストに含めている。
マイクロソフトは質問したいが、できていない
この攻撃の鍵は、公式ファイルと実際の動作の間のギャップにある。
マイクロソフト公式の説明資料には、「Coworkは敏感な操作を行う前に、例えばメール送信やTeamsでのメッセージ投稿時に、あなたの同意を得る」と明記されている。
しかし、PromptArmorの研究者がテストしたところ、受信者が自分自身の場合、このルールは直接無効になることが判明した。自分にメールを送る、Teamsで自分にメッセージを送るといった操作は、Copilot Coworkが自動的に実行し、承認確認のウィンドウは一切表示されず、ユーザー側の設定変更も不可能である。
この詳細が、攻撃チェーンの決定的な突破口となっている。
Copilot CoworkはMicrosoft 365のフロンティア機能であり、Microsoft Graphを通じてユーザーのクラウド全体の権限を取得し、企業テナント内のデータを読み取り操作できる。つまり、SharePointの財務報告書やOneDriveの人事資料、個人識別情報を含むすべてのファイルを閲覧可能だ。
攻撃手順
攻撃チェーンは全6ステップ:
第一歩:被害者のSharePointまたはOneDriveに個人情報や財務資料を含む機密ファイルが保存されている。
第二歩:被害者がネットからスキル設定ファイルをダウンロードし、Copilot Coworkにアップロードする。これは一般的な操作で、外部プラグインのインストールに相当する。Coworkのスキルファイルは、ユーザーのOneDriveの特定パスから自動的に読み込まれ、管理者の見える範囲は非常に限定的。
第三歩:被害者がCopilot Coworkに今週の作業概要を整理させ、スキルの実行をトリガー。
第四歩:埋め込まれた提示注入コマンドがエージェントを操作し、「事前認証済みダウンロードリンク」を取得させる。これらのリンクを悪意のあるHTML画像タグに埋め込み、攻撃者のサーバーへクエリパラメータとして送信させる。
事前認証済みダウンロードリンクとは?簡単に言えば、認証情報を含むURLであり、誰でもこのリンクを取得すればMicrosoftアカウントにログインせずにファイルをダウンロードできる。
第五歩:エージェントはユーザーにTeamsメッセージを送信し、その中にこれらの悪意ある画像タグを埋め込む。全行程でユーザーの承認は不要で、悪意の内容は全く見えず、メッセージを開いても異常はわからない。
第六歩:ユーザーがTeamsメッセージを開いた瞬間、ブラウザが自動的に画像を読み込み、事前認証済みダウンロードリンクが攻撃者のサーバーへ送信される。攻撃者はいつでもリンクを開き、すべてのファイルをダウンロード可能。
モデルが賢くなるほど、漏洩はより全面的に
PromptArmorのテストは、モデルの能力が高まるほど、この攻撃による損失が大きくなるという現象を浮き彫りにしている。
最初は「自動」モードで、Claude Opus 4.7とClaude Sonnet 4.6の間で動的に切り替えながらテストを行った。後にOpus 4.7単体で検証した結果、同じ注入コマンドが完全に有効であることが確認された。
この攻撃チェーンはすべてのテストで完全に成功し、ユーザーの具体的な質問内容には依存しない。いずれかのクエリがスキルの読み込みをトリガーすれば、注入は成功する。
攻撃の持続性も非常に懸念される。Copilot Coworkはスケジュールタスクをサポートしており、定期的に自動実行させる指示を設定できる。攻撃者の注入設定がスケジュールに入り込むと、被害者は何もしなくても攻撃は静かに繰り返され、企業の機密情報が絶えず外部に流出し続ける。
PromptArmorは、これは単一のパッチで修正できるソフトウェアのバグではなく、企業向けAIエージェントの設計アーキテクチャに内在するシステムリスクであると強調している。エージェントに複数システムにまたがる委任権限が付与されている場合、信頼の境界が崩壊し、全面侵入の入り口となり得る。
権限縮小が現時点で唯一の防御策
PromptArmorは報告書の中で、マイクロソフトに対して、Copilot Coworkのサンドボックス環境外へのデータ漏洩を直接許す脆弱性も指摘している。これは今回の研究とは別の問題であり、既に責任ある公開プロセスに入っている。
今回公開された攻撃チェーンは、研究者が積極的に公開し、修正を待たずに明らかにした理由は、これはシステムアーキテクチャの設計に起因するリスクであり、特定の修正可能な脆弱性ではないためだ。ユーザーはこのリスクを理解した上で、受け入れるかどうかを判断すべきである。
現時点での緩和策は、エージェントの行動範囲を制限することに集中している。管理者はSharePointの設定を通じてファイルのダウンロードを制限できる:Set-SPOSite -Identity -BlockDownloadPolicy $true、または機密性ラベルに基づきダウンロード機能をブロックする。
その代償は機能の喪失であり、ユーザーはブラウザ上でファイルを閲覧できるだけで、ダウンロード、印刷、同期はできなくなる。Word、Excel、PowerPointなどのMicrosoft 365アプリも同様だ。
これもまた、Microsoft Copilotエコシステムにおける最近の第二の大きなセキュリティ問題である。以前のEchoLeak(CVE-2025-32711)はCopilot個人版の提示注入脆弱性、Varonisの研究によるReprompt攻撃(CVE-2026-24307)はクリック一つで情報漏洩を引き起こす経路を明らかにした。Copilot Studioの間接提示注入脆弱性(CVE-2026-21520、CVSS 7.5)は修正済みだが、同様の問題はより広範なCopilot製品ラインに未だ根絶されていない。
AIエージェントの能力の境界は、企業の情報セキュリティの新たな戦場となっている。
ツールが「仕事を代行」できるようになると、そのアクセス権限は避けられず拡大し、付与された権限は潜在的な攻撃ベクトルとなる。エージェントの行動制限は、そのまま使い勝手の制限に直結し、この矛盾は今のところ完璧な解決策を持たない。