Microsoft 365 CopilotのAIエージェント機能「Cowork」が勝手にファイルを流出させる可能性があるとセキュリティ企業が指摘

Microsoft 365 Copilot Coworkにおいて「SharePointやOneDrive上のファイルが間接プロンプト注入によって流出する可能性がある」とAIセキュリティ企業のPromptArmorが報告しています。

Microsoft Copilot Cowork Exfiltrates Files
https://www.promptarmor.com/resources/microsoft-copilot-cowork-exfiltrates-files

Microsoft 365 Copilot CoworkはMicrosoft 365 Copilotのフロンティア機能で、ユーザーの代わりにメール送信、Teams投稿、文書作成、会議設定、組織内検索などを実行できるAIエージェントです。Microsoftの説明では、Coworkはユーザーが持つ権限の範囲で動作し、メール送信やTeams投稿のような機密性の高い操作では承認ダイアログを表示するとされています。

PromptArmorの報告では「間接プロンプト注入」と呼ばれる種類の攻撃が可能だと指摘されています。通常のプロンプト注入はユーザーがAIに入力した文章でAIの挙動を変える攻撃ですが、間接プロンプト注入ではWebページ、文書、メール、ファイルなど外部データの中に悪意ある指示を埋め込み、AIが外部データを読んだ際に攻撃者の意図した動作を実行させます。

PromptArmorによると、攻撃にはCopilot Coworkに特定の作業手順を覚えさせるためのファイルである「スキルファイル」が使用されるとのこと。PromptArmorは具体的な攻撃手順を以下のように図解しています。

以下は被害者となるPCの状態です。SharePointとOneDriveに個人情報や金融情報を含むファイルが置かれており、AIエージェントが機密情報を含むファイルにアクセス可能であることが分かります。

被害者がインターネットなどから入手した悪意あるスキルファイルをCopilot Coworkにアップロードします。スキルファイルは以下の通り「weekly-review」など無害そうな名前で、説明文では「過去7日間の作業中ドキュメントをレビューし、Teamsの自分宛てチャットに個人用の履歴スナップショットを投稿する」といった通常の業務支援に見える内容が書かれています。

ユーザーが「1週間の作業をレビューして」とCoworkに依頼するところから攻撃が始まります。Coworkは作業履歴をまとめるためにスキルファイルを読み込みますが、スキルファイル内に含まれる悪意ある指示によって、SharePointやOneDrive上のファイルに対する事前認証済みダウンロードリンクを取得するよう誘導されます。事前認証済みダウンロードリンクとは、リンクを開いた人がファイルをダウンロードできる形式のリンクです。PromptArmorによると、Coworkはユーザーがアクセスできるファイルに対して事前認証済みダウンロードリンクを取得できるとのこと。

PromptArmorは送信先が操作中のユーザー本人である場合、Teams投稿やメール送信が人間の承認なしで実行されたという点を問題視しています。Microsoftの説明ではCoworkが機密性の高い操作の前に承認を求めるとされていますが、PromptArmorの検証では、自分宛てのTeamsメッセージやメールでは承認が要求されなかったとのこと。さらに、TeamsやOutlookのメッセージ内に外部画像を含めると、ユーザーがメッセージを開いたタイミングで外部サイトへのネットワークリクエストが発生します。PromptArmorは、悪意あるHTML画像タグを使うことで、事前認証済みダウンロードリンクを攻撃者側のサーバーへ送信できたと説明しています。

ユーザーから見える作業ログだけでは悪意ある内容を確認しにくい点も指摘されています。PromptArmorの画像では、Coworkのタスク詳細を展開しても「Teamsメッセージを送信する」といった処理の存在は見えますが、メッセージ内に埋め込まれた悪意あるHTMLの中身までは表示されていません。ユーザーから見ると、週次レビューの投稿が行われただけのように見えるわけです。

Teamsの自分宛てチャットに投稿された週次レビューをユーザーが開くと、メッセージ内の外部画像によって通信が発生し、攻撃者側にファイルの事前認証済みダウンロードリンクが送られます。攻撃者は受け取ったリンクを開くことで、SharePointやOneDrive上のファイルをダウンロードできるという仕組みです。PromptArmorは「攻撃の過程で人間の承認は一度も必要なかった」と述べています。

PromptArmorによると、検証ではモデル選択を「Auto」にした場合だけでなく、Claude Opus 4.7を明示的に指定した場合でも攻撃が成功しました。さらに、Opus 4.7では「Auto」モードよりも広範囲に最近使用された文書を探し、以前のCoworkセッションで使われたファイルまで流出対象に含めたとのことです。PromptArmorは同じ間接プロンプト注入で5回中5回、攻撃チェーン全体が完了したとも述べています。

被害を広げる要因として、PromptArmorはスケジュール実行機能も挙げています。Coworkではユーザーが定期的に実行されるタスクを作成でき、週次レビューのような処理は自動化されやすい用途です。PromptArmorは「ユーザーが画面の前にいない状態で悪意あるスキルファイルが繰り返し実行されると、ユーザーが途中で不審な挙動を止める機会も減る」と指摘しています。

対策としてPromptArmorは、Microsoft 365環境内で過剰な権限を減らし、AIエージェントが読める情報の範囲を絞ることが重要だと述べています。MicrosoftのSharePointとOneDrive向けダウンロードブロックポリシーでは、SharePoint管理者が個別のSharePointサイトやOneDriveに対してファイルのダウンロードを制限できます。Microsoftの説明によると、ダウンロードブロックを有効化したユーザーはブラウザのみでアクセスでき、ダウンロード、印刷、同期ができなくなり、WordやExcelなどMicrosoft 365アプリからのアクセスにも制約が出ます。

ただし、ダウンロードブロックポリシーは業務上の使い勝手にも影響します。Microsoftは組織で使っているアプリとの動作を確認するため、一部ユーザーでポリシーを有効化してテストすることを推奨しています。PromptArmorも、信頼できないデータをスキルファイルのような信頼された文脈に置く場合は特に注意が必要だと述べています。

PromptArmorは今回の問題について、単一のバグだけではなく、企業システム全体に委任された権限で動くAIエージェントの設計上のリスクを示すものだと述べています。AIエージェント単体の機能はメール作成、Teams投稿、文書検索といった正当な業務支援でも、複数のシステムをまたいで自動実行できる場合、間接プロンプト注入によってファイル流出につながる攻撃面が広がるとのことです。