AIエージェントにご用心
Microsoft Copilot Coworkがファイルを流出させるリスク
2025年〜2026年 最新脅威情報 / IT小僧の時事放談
AIエージェントは便利だが、ユーザーが気づかないうちに社内ファイルを外部へ流出させる可能性がある——。セキュリティ研究機関「PromptArmor」がMicrosoft Copilot Coworkの深刻な脆弱性(ぜいじゃくせい)を公開した。本記事では、その攻撃の仕組みと、AIエージェントが普及するこれからの時代に私たちが直面するリスクを徹底解説する。
📋 目次
- Copilot Coworkとは何か
- 発見された脆弱性——ファイルが流出する仕組み
- 攻撃は成功率100%——最新モデルでも防げなかった
- AIエージェントが抱える根本的なリスク
- OWASPが警告する「最重要脅威」プロンプトインジェクション
- 企業・個人が取るべき対策
- IT小僧の本音コラム
1. Copilot Coworkとは何か
Microsoft 365 Copilotに搭載された「Cowork(コワーク)」は、ユーザーのMicrosoftアカウント権限でパソコン上のファイルやアプリを自律的に操作するAIエージェント機能だ。メールの送信、チームズ(Teams)へのメッセージ投稿、シェアポイント(SharePoint)やワンドライブ(OneDrive)内のファイル参照など、人間が日常的に行う業務を代行することができる。
この技術の肝は「マイクロソフトグラフ(Microsoft Graph)」と呼ばれるAPIを介して、企業のテナント(利用環境全体)内のあらゆるデータにアクセスできる点にある。便利な反面、それは「AIがユーザー本人として動ける」ことも意味する。
2. 発見された脆弱性——ファイルが流出する仕組み
PromptArmorが明らかにした攻撃は「間接プロンプトインジェクション(Indirect Prompt Injection)」と呼ばれる手法を利用している。簡単に言えば、「AIが読み込むファイルの中に悪意ある命令を隠す」攻撃だ。
▼ 攻撃ステップ(概要)
| Step | 操作内容 | 何が起きているか |
| 1 | スキルファイルをアップロード | ネットで入手したファイルに悪意ある命令が埋め込まれている |
| 2 | AIに「今週の業務をまとめて」と依頼 | AIがスキルを読み込み、隠された命令を実行してしまう |
| 3 | AIがTeamsにメッセージを自動送信 | メッセージには外部サイトへの「事前認証済みダウンロードリンク」が埋め込まれている |
| 4 | ユーザーがメッセージを開く | その瞬間、ファイルリンクが攻撃者のサーバーへ自動送信され、ファイルが盗まれる |
最も恐ろしいのは、この一連の操作においてユーザーへの承認確認が一切行われない点だ。Microsoftのドキュメントには「メール送信や投稿前に許可を求める」と記載されているが、送信先がユーザー本人の場合はこの確認がスキップされてしまう仕様だった。
Microsoft Copilot Cowork Exfiltrates Files
https://www.promptarmor.com/resources/microsoft-copilot-cowork-exfiltrates-files
3. 攻撃は成功率100%——最新モデルでも防げなかった
PromptArmorの検証では、この攻撃は5回のテスト全てで成功した(成功率100%)。使用モデルは当初「自動選択」モードだったが、後に最新のクロードオーパス(Claude Opus)4.7を明示的に指定した場合も攻撃は成功した。
さらに、Opus 4.7を使用した場合は「自動」モードよりも広範なファイルを収集した。過去のCoworkセッションで使用した全ファイルまで遡って探し出し、より多くのデータを流出させたという。
⚠ 重要ポイント
悪意ある命令はスキルファイル(81行)のうちわずか5行に過ぎなかった。最新・最高性能のAIモデルを使っていても、この攻撃を防ぐことはできなかった。
4. AIエージェントが抱える根本的なリスク
今回の問題はCoworkだけに限らない。AIエージェントが複数のシステムにアクセスできるようになるほど、攻撃の「表面積(アタックサーフェス)」は拡大する。
Trend Microのレポートでは、AIエージェントへのデータ流出攻撃は主に次の3種類で発生すると指摘している。
| 攻撃の種類 | 概要 | 具体例 |
| ウェブベース | AIが参照するウェブページに命令を埋め込む | 調査させたページが実は罠だった |
| 画像ベース | 画像ファイルに見えない命令を隠す | 業務で共有された画像が攻撃の入口に |
| ドキュメントベース | ワード・エクセルなどのファイルに命令を記述 | 今回のCowork事例がこれに該当 |
特に深刻なのが「スケジュールタスク」の問題だ。CoworkはAIが定期的に自動実行するタスクを設定できる。「毎週月曜に業務まとめを作る」といったスケジュールに悪意あるスキルが組み込まれていれば、ユーザーが何もしなくても毎週自動でファイルが流出し続ける。
5. OWASPが警告する「最重要脅威」プロンプトインジェクション
セキュリティの国際標準団体「オーワスプ(OWASP)」は2025年のAIアプリ向けトップ10脅威リストで、プロンプトインジェクションを第1位に指定した。本番環境のAI導入事例の73%以上でこの脆弱性が確認されているとも報告されている。
また、2025年6月には「EchoLeak(エコーリーク)」と呼ばれるゼロクリック型のプロンプトインジェクション脆弱性(CVE-2025-32711)がMicrosoft 365 Copilotで発見された。深刻度スコアは9.3(最大10)のクリティカルであり、ユーザーが何もクリックしなくてもメールを受け取るだけで内部ファイルが流出する恐れがあった。
📌 プロンプトインジェクション攻撃で起きること
- 機密ファイル・データベース情報の外部流出
- 業務プロセスの不正な改ざん
- アクセス権の不正昇格(権限外の操作)
- 社内ネットワーク内での横断的な攻撃(ラテラルムーブメント)
- マルウェアのダウンロードと実行
オープンエーアイ(OpenAI)は2025年12月、プロンプトインジェクションは「完全には解決できない根本的な構造問題」と認めている。信頼できる指示と外部コンテンツを同じコンテキスト内で処理する限り、AIはその区別を完璧にはつけられないのだ。
6. 企業・個人が取るべき対策
【管理者向け:SharePointのダウンロードブロック設定】
PromptArmorは、事前認証済みダウンロードリンクの発行を防ぐために、シェアポイントオンライン(SharePoint Online)管理シェルでの設定変更を推奨している。ただしこの設定を有効にすると、対象ファイルへのアプリからのアクセスも制限されるため、業務影響の確認が必要だ。
| 対策カテゴリ | 具体的なアクション | 優先度 |
| 信頼できるスキルのみ使用 | ネットから入手した不明なスキルファイルは絶対に使用しない | 高 |
| 権限の最小化 | AIエージェントに付与するアクセス権を業務上必要な最小限にとどめる | 高 |
| スケジュールタスクの見直し | 設定済みの自動タスクを定期的に確認・削除する | 中 |
| 外部通信の監視 | AIエージェントが行う外部サイトへのネットワーク通信をログで監視する | 中 |
| ダウンロードポリシー設定 | シェアポイントのブロックダウンロードポリシーを重要データに適用する | 要検討 |
💬 IT小僧の本音コラム
「AIに任せる」の前に、AIが何をできるか知っているか?
20年以上システム開発の現場にいると、「新しいツールが出たら試す前に権限設計を考える」のが鉄則だとわかる。でも今回のAIエージェントは、その「権限」の怖さを多くの人がまだ理解できていないと感じる。
Coworkは「ユーザーの代わりに動く」ツールだ。つまりそのAIが騙されれば、ユーザー本人が騙されたのと同じ被害が出る。しかも今回の攻撃は、ユーザーがTeamsのメッセージを開いた瞬間に終わる。警戒する間もない。
AIエージェントを企業導入する場合、「どのデータにアクセスできるか」「誰の承認なしに何ができるか」を徹底的に洗い出す必要がある。便利さの裏にある権限の大きさを、まず経営層と情報システム担当者が正確に把握すべきだ。便利なツールを使いこなすのと、安全に使うのは別の話である。
まとめ
AIエージェントは確かに業務を効率化する強力なツールだ。しかし、AIが人の代わりにファイルを読み、メールを送り、アプリを操作できるということは、攻撃者にとっても「人の権限を丸ごと乗っ取れる」チャンスになりうる。
今回のMicrosoft Copilot Coworkの事例は、その危険性を具体的な形で示した。最新のAIモデルでも防げなかった事実は重く受け止めるべきだ。AIを安全に活用するためには、利便性と同じだけの「リスク理解と設計」が不可欠である。
📎 参考情報
・PromptArmor「Microsoft Copilot Cowork Exfiltrates Files」
・Trend Micro「Unveiling AI Agent Vulnerabilities Part III: Data Exfiltration」(2025年5月)
・CrowdStrike「Indirect Prompt Injection Attacks: Hidden AI Risks」(2025年12月)
・OWASP「LLM01:2025 Prompt Injection」
・Microsoft Security Blog「When prompts become shells」(2026年5月)
