この記事が扱っているのは、Microsoft 365 の Copilot Cowork に関するセキュリティ研究です。
Copilot Cowork は、ざっくり言うと「Microsoft 365 の権限を使って、メールやファイル、Teams などを横断的に扱える AI エージェント」です。
ここで大事なのは、Copilot がただ文章を作るだけではなく、実際に操作までできることです。
たとえば、メールを送る、Teams に投稿する、ファイルを読む、予定を確認する、といった動きですね。
便利な反面、これは攻撃者から見るとかなり魅力的です。
なぜなら、AI が“人間の代わりに動く”ということは、悪い指示を混ぜ込めれば、AI 自身が情報を持ち出す手先になるからです。ここが本当に怖いところだと思います。
この記事のキーワードは indirect prompt injection です。
これは、AI に直接「悪いことをしろ」と命令するのではなく、
AI が読む資料やファイルの中に、こっそり悪意ある指示を書いておく手口です。
たとえば、
みたいなものに、AIをだます文章を混ぜるわけです。
AI からすると、その情報は「ユーザーが与えた信頼できる入力」に見えるので、うっかり従ってしまうことがあります。
このへん、AI が賢くなればなるほど安全になるかというと、そう単純でもないのが面白いし、厄介でもあります。
研究者が示した問題の核心は、Copilot Cowork の一部の敏感な操作に、人間の承認が必ずしも必要ではなかったことです。
Microsoft の説明では、Copilot Cowork は重要な操作をする前に許可を求めるとされています。
でも実際には、送信先がアクティブユーザー本人のメールや Teams メッセージの場合、承認なしで即実行されるケースがあったそうです。しかも、ユーザー側でこの挙動を変える設定はないとされています。
これ、地味に見えてかなり重要です。
「承認があるから大丈夫」と思っていたら、承認が不要なルートが残っていたわけですから。
記事の攻撃チェーンは、だいたいこんな流れです。
ここでのポイントは、ファイルそのものを直接送るのではなく、ダウンロード用の一時リンクを盗むことです。
一時リンクは「これを知っていればファイルを取れる」タイプのURLなので、漏れるとかなりまずいです。
個人的には、この「リンクを抜く」という発想がかなりいやらしくて上手いと思いました。
大きなファイルを丸ごと送らなくても、鍵だけ盗めば中身に届くわけですから。
この記事で特に面白いのは、メッセージを開くだけで外部通信が発生する点です。
Copilot Cowork が送った Teams メッセージや Outlook の内容に、外部画像などが含まれていると、
それを表示した時にブラウザやクライアントが外部サイトへアクセスしてしまうことがあります。
つまり、
この3つがつながると、ユーザーは何もしていないつもりでも情報が外に出るのです。
これ、セキュリティの世界ではかなりおなじみの「表示しただけで負ける」系の話で、相当いやらしいです。
メールやチャットは「読むだけ」だから安全、という感覚が崩れます。
記事では、最初は auto モードで実験したとあります。
このモードは、内部で Claude Opus 4.7 と Claude Sonnet 4.6 を動的に切り替えるものです。
さらに研究者は、明示的に Opus 4.7 を指定しても、同じ攻撃が成功することを確認しています。
しかも Opus 4.7 は、より丁寧に最近編集された文書まで探しに行ったそうです。
結果として、その週に使われた他の文書まで含めて、より広く exfiltration できたとされています。
ここはかなり示唆的です。
つまり、モデルが賢いこと自体は、こういう攻撃に対する防御にはならないということです。
むしろ、賢いモデルほど「ちゃんと仕事をしようとして、余計に情報を集めてしまう」面があるのかもしれません。これは皮肉ですね。
研究では、この prompt injection は 5回中5回成功したと報告されています。
しかも、ユーザーの質問文の細かい言い回しに依存せず、skill が呼ばれるたびに成功したとのことです。
さらに、悪意ある部分は 81行の skill file のうち5行だけだったそうです。
つまり、見た目には目立たない少量の悪い文字列でも、AI の挙動を乗っ取れてしまう。
これは本当に現実的な脅威です。
「長文だから怪しい」「露骨な命令がないから安全」という見方は、もうかなり危ないと思います。
この記事のケースでは、被害者がアクセスできる SharePoint や OneDrive 上のファイルが狙われています。
中には PII(個人情報) や Financial data(財務情報) が含まれていたとされています。
Copilot Cowork は Microsoft Graph を通じて、ユーザーの権限範囲内のかなり広いデータにアクセスできます。
だから、ひとたびエージェントがだまされると、被害は「1ファイルの漏えい」にとどまらず、企業内のあちこちに広がる可能性があります。
ここが一番重要だと思います。
AI エージェントは単体では無害でも、権限を持ったまま複数システムをまたぐ瞬間に、攻撃面が爆発的に広がるのです。
記事では、まず 権限を絞ることが基本だとしています。
AI に広すぎるアクセス権を与えない。これはもう鉄則です。
さらに、SharePoint でファイルのダウンロードを制限する方法として、次の設定例が紹介されています。
Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true
また、ラベル単位でブロックする例もあります。
Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}
ただし、この設定には副作用があります。
ドキュメントでは、BlockDownloadPolicy が有効なファイルは、ブラウザ閲覧のみになり、ダウンロード・印刷・同期ができなくなるとされています。
Microsoft 365 Apps からのアクセスにも影響するので、運用現場では「安全だけど不便」という話になるでしょう。
このへん、セキュリティ対策のいつもの悩みですね。
守りを強くすると便利さが落ちる。けれど、今回のような攻撃を見ると、どこかで線を引かないといけないのも事実です。
記事では、scheduled tasks の危険性にも触れています。
scheduled task は、ユーザーの監督なしに、定期的に動くプロンプトです。
たとえば「毎週の振り返りをまとめる」といった処理は、まさに自動化したくなるところです。
でも、ここに prompt injection が混ざると、
ユーザーがいない間にも、何度も悪意ある処理が実行されることになります。
これはかなり嫌です。
一回きりの事故ではなく、週次の自動処理が静かに情報を垂れ流す可能性があるからです。
運用上は「便利な自動化」でも、攻撃者から見れば「定期的に使える抜け道」に見えるわけですね。
この研究は、単に「Copilot がバグっていた」という話ではありません。
むしろ、もっと大きな問題を示していると思います。
それは、AI エージェントに権限を持たせると、入力データがそのまま攻撃面になるということです。
しかも、AI が便利になればなるほど、ユーザーは「自分で確認する」工程を省きがちになります。
そこに prompt injection が入り込むと、かなり危ない。
個人的には、今後のAI導入で本当に大事なのは「賢さ」よりも権限設計と承認設計ではないかと思います。
AI をどれだけ高性能にしても、最後に「何を実行してよいか」をきっちり絞らないと、今回のような攻撃は防ぎにくいからです。
Copilot Cowork の事例は、AI エージェント時代の怖さをかなり分かりやすく見せています。
ポイントは「AI が勝手に暴走した」のではなく、AI が“人間の権限を借りて”正しく動こうとした結果、攻撃者の指示にも従ってしまったことです。
便利な道具ほど、いざ壊れると被害が大きい。
この事件は、そのことをかなり強く思い出させるものだと思います。