セキュリティ研究機関 PromptArmor は、最近報告書を発表し、マイクロソフトの Microsoft 365 に含まれる AI インテリジェントエージェントサービスである Copilot Cowork に深刻なセキュリティの脆弱性が存在することを明らかにしました。攻撃者は「間接的なプロンプトインジェクション」という技術を利用して、ユーザーの承認なしに、組織内のクラウドストレージの機密ファイルを秘密裏に盗み出し、外部に漏洩させることができます。

image.png

オフィステンプレートに潜む悪意のある指示

Cowork は深く統合された AI アシスタントであり、ユーザーがメールを送信したり、Teams のメッセージを投稿したり、OneDrive や SharePoint の組織内情報を検索したりする権限を持っています。しかし、研究者らは、攻撃者がウェブページやドキュメント、または見かけ上普通のオフィス自動化テンプレート(例えば「週次作業レビュー」)に悪意のある指示を隠すことで、AI エージェントを陥れることが可能であることを発見しました。

ユーザーが Cowork を使ってこの悪意のあるプロンプトを含むファイルを処理すると、エージェントは文書のプレビューを生成する必要があると偽装します。その後、高機密ファイルの事前認証済みダウンロードリンクを自動的に取得し、それらのリンクを Teams のメッセージを通じて攻撃者に静かに送信します。このデータ流出のプロセスはバックグラウンドで行われており、ユーザーが気づくのは非常に難しいです。

定期タスクによりリスクが拡大し、防御・管理が困難

報告書では、Copilot Cowork が定期的に自動でタスクを実行する機能を持っているため、セキュリティリスクが倍増していると指摘されています。たとえば、「週報まとめ」のような周期的に実行される自動タスクは、ユーザーが画面から離れたり、誰もいない状態であっても、バックグラウンドで繰り返し起動され、攻撃チェーンが実行されます。

セキュリティテストでは、この攻撃方法が5回のテストすべてで完全に動作することが確認されました。さらに悪いことに、管理者にとってこれらの「スキルファイル」の可視性と管理の難しさは非常に高く、この脆弱性は自動モードでのみ影響を及ぼすものではなく、Claude Opus 4.7 などのより強力な大規模モデルを明示的に指定して呼び出しても同様に影響を受けます。