FFeel.Trading
ニュース一覧Microsoft Copilot Coworkに重大な脆弱性が発覚:AI Agentがプロンプトインジェクション攻撃を受け、企業の機密ファイルを自動で漏洩
動區 BlockTempo2026-05-26 01:30:17

Microsoft Copilot Coworkに重大な脆弱性が発覚:AI Agentがプロンプトインジェクション攻撃を受け、企業の機密ファイルを自動で漏洩

ORIGINAL微軟 Copilot Cowork 爆重大漏洞:AI Agent 遇提示詞攻擊自動洩漏企業機密檔案
AI 影響分析Grok が分析中...
📄原文全文· trafilatura により自動抽出Gemini 翻譯2549 文字
セキュリティ機関 PromptArmor は、Microsoft 365 Copilot Cowork にプロンプトインジェクション脆弱性が存在し、攻撃者は悪意のあるスキルファイル一つで、企業の SharePoint および OneDrive の機密ファイルを流出させられることを明らかにした。 (前回までのあらすじ:GitHub Copilot がセルフサービス購読を停止:AI 使用量が制御不能、低価格プランの経済学が完全に崩壊) (背景補足:Claude Cowork 完全攻略:AI をチャットアシスタントからあなたのデジタル従業員に変える) PromptArmor は先週、脅威インテリジェンスレポートを公開し、Microsoft 365 の Copilot Cowork 機能に完全に再現可能なファイル流出攻撃チェーンが存在することを指摘した。 複数回のテストのうち、5 回成功。セキュリティ研究機関の攻撃者は、わずか 81 行のスキル設定ファイルに 5 行の悪意ある命令を埋め込むだけで、AI エージェントにユーザーが全く知らない間に、SharePoint および OneDrive の企業機密ファイルを攻撃者が制御するサーバーへ送信させることができる。 これは個別のモデルの問題ではない。Claude Opus 4.7 と Claude Sonnet 4.6 はいずれも影響を受けることが検証され、しかも Opus 4.7 はより「積極的」な振る舞いを見せ、自発的に検索範囲を拡大し、被害者が今週 Cowork セッションで開いたすべてのファイルを流出リストに含めた。 この攻撃の鍵は、公式ドキュメントと実際の挙動とのギャップにある。 Microsoft の公式説明ドキュメントには次のように明記されている:「Cowork は、メールの送信や Teams へのメッセージ投稿など、機密性の高い操作を実行する前に、お客様の同意を求めます。」 しかし PromptArmor の研究者はテストで、受信者がユーザー自身である場合、このルールが直接無効になることを発見した。自分宛にメールを送る、自分宛に Teams メッセージを送る、これらの場合 Copilot Cowork は一律に自動実行し、いかなる承認確認ウィンドウも表示されず、ユーザーがこの動作を変更できる設定も存在しない。 この細部こそが、攻撃チェーン全体の決定的な抜け穴となった。 Copilot Cowork は Microsoft 365 の Frontier 機能で、Microsoft Graph を通じてユーザーの完全なクラウド権限を取得し、企業テナント内全体のデータを読み取り、操作できる。言い換えれば、それはあなたが見られるすべてを見ることができ、SharePoint 上の財務報告書、OneDrive 内の人事データ、および個人識別情報を含むすべてのファイルが含まれる。 攻撃チェーンは全 6 ステップ: 第 1 ステップ:被害者の SharePoint または OneDrive に個人情報や財務データを含む機密ファイルが保存されている 第 2 ステップ:被害者がインターネットからスキル設定ファイルをダウンロードし、Copilot Cowork にアップロードする。これは一般的な操作で、プラグインをインストールするのと同等である。Cowork のスキルファイルはユーザーの OneDrive の特定パスから自動的にロードされ、管理者の可視性は極めて限定的である 第 3 ステップ:被害者が Copilot Cowork に今週の業務サマリーをまとめるよう依頼し、スキルの実行をトリガーする 第 4 ステップ:埋め込まれたプロンプトインジェクション命令がエージェントを操作し、各ファイルについて「事前認証済みダウンロードリンク」を取得させ、悪意のある HTML 画像タグを通じて、これらのリンクをクエリパラメータとして攻撃者のサーバーへ送信する。 事前認証済みダウンロードリンクとは何か?簡単に言えば、認証情報を含む URL であり、このリンクを取得した者は誰でも、Microsoft アカウントにログインする必要なく、直接クリックするだけで当該ファイルをダウンロードできる。 第 5 ステップ:エージェントが Teams メッセージをユーザー自身宛に送信し、メッセージにはこれらの悪意ある画像タグが埋め込まれている。全プロセスでユーザーの承認は不要で、悪意あるコンテンツはユーザーには完全に不可視であり、メッセージを開いても異常を見抜くことはできない 第 6 ステップ:ユーザーが Teams メッセージを開いた瞬間、ブラウザが自動的に画像をロードし、事前認証済みダウンロードリンクが攻撃者のサーバーへ送信される。攻撃者はいつでもリンクを開いてすべてのファイルをダウンロードできる。 PromptArmor のテストは、考察に値する現象を明らかにした:モデルの能力が高いほど、この攻撃シナリオにおいて引き起こす損失が大きい。 テスト初期は「自動」モードを使用し、システムは動的に Claude Opus 4.7 と Claude Sonnet 4.6 を切り替えていた。研究者はその後 Opus 4.7 単独で検証を行い、同一のインジェクション命令が完全に有効であることを確認した。 この攻撃チェーンはすべてのテストで完全に実行され、ユーザーの具体的な質問文とは無関係で、いかなるクエリでもスキルのロードがトリガーされさえすれば、インジェクションは成功する。 攻撃の永続性も同様に懸念される。Copilot Cowork はスケジュールタスクをサポートし、ユーザーが定期的に自動実行されるプロンプト命令を設定できる。攻撃者のインジェクション設定がスケジュールに入ると、被害者は能動的に操作する必要すらなく、攻撃は各サイクルごとに静かに実行され、企業機密を絶え間なく外部へ送信し続ける。 PromptArmor は強調する。これは単一のパッチで修正できるプログラムのバグではなく、エンタープライズ級 AI エージェントの設計アーキテクチャに内在するシステム的リスクである。一つのエージェントが複数システムにわたる委任権限を付与されたとき、いずれかのシステムの信頼境界が崩壊すれば、それが全面的な侵入の入口となり得る。 PromptArmor はレポート内で、Copilot Cowork のサンドボックス環境からデータが直接流出することを許可する別の脆弱性についても Microsoft に開示した。これは今回の研究とは独立した別の問題で、現在は責任ある開示プロセスに入っている。 今回公開された攻撃チェーンについて、研究者は修正を待たず能動的に開示することを選択した。その理由は、このリスクはシステムアーキテクチャ設計に起因するものであり、修正可能な特定の脆弱性ではないため、ユーザーは情報を知った上でこのリスクを受け入れるかどうかを判断する必要があるからである。 現時点で取り得る緩和策は、エージェントの行動半径を制限することが主となる。管理者は SharePoint を通じてファイルダウンロードを制限できる:Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true を設定する、または機密度ラベルに応じてダウンロード機能をブロックする。 代償として機能は損なわれ、ユーザーはブラウザ内でファイルを閲覧することしかできず、ダウンロード、印刷、同期は不可能となる。これには Word、Excel、PowerPoint などすべての Microsoft 365 アプリケーションが含まれる。 これは Microsoft Copilot エコシステムにおける近年第二波の重大なセキュリティ問題でもある。先の EchoLeak(CVE-2025-32711)は Copilot 個人版を対象としたプロンプトインジェクション脆弱性であり、Varonis が研究した Reprompt 攻撃(CVE-2026-24307)は類似のシングルクリックによるデータ流出経路を明らかにした。Copilot Studio の間接プロンプトインジェクション脆弱性(CVE-2026-21520、CVSS 7.5)は既に修正されているものの、同種の問題はより広範な Copilot 製品群において依然として根絶されていない。 AI エージェントの能力境界は、企業セキュリティの新たな戦場となりつつある。 あるツールがあなたに代わって「事を成す」ことができるとき、それが必要とするアクセス権限は不可避的に拡大し、付与されるすべての権限が潜在的な攻撃ベクトルとなる。エージェントの行動能力を制限することは、本質的にその利用価値を制限することであり、この矛盾に対し、現時点で完璧な答えを持つ者はいない。
データステータス✓ 全文抽出済み原文を読む(動區 BlockTempo)
🔍過去の類似イベント· キーワード + 銘柄照合6 件
2026-05-25
速報》SquidRouterModuleに重大な脆弱性が発覚!86個のGnosis Safeがハッキングされ300万ドルの被害
類似度 120%關鍵字 爆重大漏洞同分類 zh
2026-05-24
OpenClaw コアコントリビューター:Lobster の熱狂が去った今、Agent は誰の言うことを聞くべきか?
類似度 120%關鍵字 agent同分類 zh
2026-05-20
Hermes AgentがX公式CLIツールを取り込む!xAIがインストールガイドを公開
類似度 120%關鍵字 agent同分類 zh
2026-05-18
シンガポール外相講演》「ザリガニ」をインストールしたら怖くて切れない!AI Agentを使ったことのない官僚が、国家統治を語れるのか?
類似度 120%關鍵字 agent同分類 zh
2026-05-18
Hermesエージェント大改修》新たにproxyコマンドを追加し、3社のAIサブスクリプションをローカルAPIに変換
類似度 120%關鍵字 agent同分類 zh
2026-05-15
Raindrop Workshop を使って Codex で AI Agent のバグを自動検出し修正する(無料・オープンソース)
類似度 120%關鍵字 agent同分類 zh
💡 現在はキーワード + 銘柄照合(MVP)を使用しています · 今後 embedding セマンティック検索へアップグレード予定
原始情報
ID:1d78ecb5f6
ソース:動區 BlockTempo
公開:2026-05-26 01:30:17
カテゴリ:zh_news · エクスポートカテゴリ zh
銘柄:未指定
コミュニティ投票:+0 /0 · ⭐ 0 重要 · 💬 0 コメント