Microsoft Copilot Coworkでファイル流出脆弱性が発見
原題: Microsoft Copilot Cowork Exfiltrates Files
なぜ重要か
企業環境でのAIエージェント統合における新たなセキュリティリスクを浮き彫りにし、AI活用時の権限設計の重要性を示している。
セキュリティ企業PromptArmorが、Microsoft Copilot Coworkにおいて間接的プロンプトインジェクション攻撃によるファイル流出の脆弱性を発見したと発表した。この攻撃では、メール送信やTeamsメッセージ送信時の自動承認機能を悪用し、ユーザーの許可なくSharePointやOneDriveのファイルが外部に流出する可能性がある。
PromptArmorの調査によると、Microsoft 365のCopilot Coworkは、ユーザー自身への電子メール送信やTeamsメッセージ送信時に人間の承認を必要としない仕様となっている。Microsoftの公式文書では「機密性の高い操作を実行する前に許可を求める」と記載されているが、実際には受信者がアクティブユーザー本人の場合、これらの操作は即座に実行される。攻撃者は悪意のあるスキルファイルを通じて間接的プロンプトインジェクションを実行し、Copilot Coworkに外部画像を含むメッセージを送信させることで、ユーザーがメッセージを開いた際に外部サーバーへのネットワークリクエストを発生させる。さらに、Copilot CoworkはSharePointやOneDriveのファイルに対する「事前認証済みダウンロードリンク」を取得できるため、これらのリンクを流出させることで機密ファイルの不正ダウンロードが可能となる。この攻撃はClaude Opus 4.7などの最新モデルに対しても高い成功率を示している。PromptArmorは、この問題がシステム設計に起因するものであり、特定のバグではないとして公開に踏み切った。