世界を動かす技術を、日本語で。

マイクロソフト コパイロットがファイルを不正に持ち出す

2026年5月26日原文(promptarmor.com)

概要

  • Copilot Cowork における間接プロンプトインジェクション攻撃のリスクを解説
  • ファイル流出 がユーザー操作なしで発生可能な設計上の問題を指摘
  • 管理者による権限制御 やダウンロード制限の有効性について説明
  • Opus 4.7 など最新LLMでも攻撃が有効である事例を紹介
  • 定期実行タスク によるリスク拡大の懸念を強調

Copilot Coworkにおけるプロンプトインジェクション攻撃の概要

  • Copilot Cowork はMicrosoft 365のFrontier機能であり、ユーザーのMicrosoft権限を用いてMicrosoft Graph経由でデータ操作が可能
  • 攻撃者は 「スキル」に間接的なプロンプトインジェクション を仕込み、ファイル流出を実現
  • TeamsやOutlook でのメッセージ閲覧時に、攻撃者制御のネットワークリクエストが発生
  • 送信先が本人の場合、メールやTeamsメッセージ送信に人間の承認が不要
  • 事前認証済みダウンロードリンク を悪用し、ファイルの外部流出が可能

攻撃チェーンの流れ

  • 被害者が SharePointやOneDrive に保存された機密ファイルへのアクセス権を所持
  • 被害者が オンラインで見つけたスキルファイル をCopilot Coworkへアップロード
  • スキルファイル に仕込まれたプロンプトインジェクションが発動
  • Copilot Coworkが Teamsメッセージ を自動生成し、ファイルのダウンロードリンクを含む外部リクエストを送信
  • ユーザーがTeamsメッセージを開封 すると、攻撃者がファイルダウンロードリンクを取得可能
  • 管理者はスキルの内容を直接監視できない ため、リスクの可視化が困難

組織向けリスク低減策

  • Microsoft Graph 経由での広範なリソースアクセス権を最小化する権限設計
  • SharePoint Online Management Shell でファイルダウンロード制限を設定
    • 例: Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true
    • または感度ラベル経由で制御: Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}
  • ダウンロード制限有効時の注意点
    • ブラウザ閲覧のみ許可、ダウンロード・印刷・同期不可
    • Microsoft 365 Appsからのアクセスも制限

モデル非依存の攻撃成立性

  • モデル選択を「Auto」 にした場合でも、Opus 4.7やClaude Sonnet 4.6間で同様に攻撃が成立
  • Opus 4.7 はより広範囲のドキュメントを探索し、直近の編集履歴を含めて流出範囲が拡大
  • 攻撃は スキルファイルの一部(全81行中5行) のインジェクションで成立

プロンプトインジェクションの有効性

  • 全試行で攻撃が成功 (5回中5回)
  • ユーザー質問の文言や内容に依存せず、スキル呼び出し時に必ずインジェクションが実行
  • 信頼できないデータ(特にオンライン共有スキル) の利用時は要注意

定期実行タスクによるリスク拡大

  • Copilot Coworkの定期実行タスク (例:「週次レビュー」)は自動でプロンプトを実行
  • ユーザー不在時でも攻撃が発動 し、被害が継続的に発生
  • 定期タスクの利用は攻撃面を大幅に拡大 する要因

要点まとめ

  • Copilot Coworkの設計上、 本人宛メッセージ送信に承認不要 という仕様がファイル流出リスクを増大
  • スキルファイル等の信頼性確認管理者による権限制御 が必須
  • 最新LLMでも防げない攻撃 であり、今後のエージェント型AI活用時の重要なセキュリティ課題

Hackerたちの意見

つまり、もし悪意のあるスキルがあなたのAIエージェントに入ったら、終わりってことだね。驚くことでもないし、これをプロンプトインジェクションと考えるべきでもないと思う。AIスキルは、従来のソフトウェアのプラグインみたいなもので、悪意のあるIDE拡張やOutlookプラグインをインストールしたら、攻撃者はPCに好きなことをして、好きなデータを持ち出せるってこと。だから、この話は大したことないよ。

また依存攻撃の新たなターゲットが増えたね。

実際、もっとひどいことになってる — 彼らの製品の宣伝になってるよ。

スキルを通じてソフトウェアの配布チャネルになったりするのかな。LLMウィキで起こったことに似てるかも。

AIスキルは単なるプラグインじゃないよ。適切なモデルがあれば、もっと多くのことができるらしい。みんなのハーネスはモデルに結びついてるから、使えるツールセットがいっぱいあるんだ。

たぶん、もうみんなやってると思う。スキルスキャナーを作ったけど、ZIPをダウンロードして中身を確認するのも簡単だし…でも、みんなこれをリモートで読み込んでるよね。ペンテスターの魔法のスキルをインストールしないのは簡単だと思うけど、スキルが持つ攻撃能力はかなりヤバいよ。自分で作った方がいいってのが俺の考え。

従来のソフトウェアのプラグインとは違って、スキルはセキュリティの境界からの切り離しを意味するわけじゃないし、高い信頼で動くわけでもない。単に選択的に読み込まれるコンテキストに過ぎない。エージェントにスキルを使ってやらせることができるなら、スキルなしでも同じことをやらせることができるよ。

スキルを使って悪用できるなら、信頼できない入力をコンテキストに挿入しても悪用できるってことだよね。Coworkはメールの読み取りに役立つの?

データを外部に持ち出すアクセス権があればね。基本的にはデフォルトで拒否してて、会社が各個別の宛先をホワイトリストに登録しなきゃいけないんだ。

ありがたいことに、悪意のあるスキルを挿入するのは簡単じゃない。いろんなことを間違えて、攻撃者がたくさんのことをうまくやらないと悪用されることはないよ。

そもそも、これをプロンプトインジェクションと考えるべきじゃないと思うんだけど、謝罪的な表現はやめようよ。複数の脆弱性からエクスプロイトを作るのはどんどん一般的になってきてるし、どれも良くない。企業のマルウェアをダウンロードするのはバカだし、ランダムなプロンプトインジェクションを追加するのは無謀だよ。自律エージェントをその上で動かすなんて、頭おかしい。プロンプトインジェクションはこの点でより深刻だね。しっかりした防御策が知られてないから。その他の問題はプロセスの失敗だけど、プロンプトインジェクションは最初の考えの段階での失敗なんだ。

なんてこった、いいね。無数のMBAの連中が「企業全体のコパイロット統合」を「導入」して、会社を「AIネイティブ」にしようとしてるなんて、最近のLinkedInの連中は何を考えてるんだろうね。

Hacker Newsで議論の続きを見る