Microsoft 365 Copilot に組み込まれた AI エージェント機能「Cowork」に、間接プロンプト注入経由で SharePoint や OneDrive のファイルが攻撃者の手元に流れる構造的欠陥 が見つかった。AI セキュリティ企業の PromptArmor が公表し、攻撃チェーン全体が 5 回中 5 回成功したと報告している。エージェントを起動させた瞬間に企業ファイルが社外へ運ばれる、典型的な「エージェント時代の exfil」である。
どうやってファイルが抜けるのか #
攻撃者は「weekly-review.skill」のような無害に見えるスキルファイルを送りつけるか共有領域に置く。被害者は普段の業務として Cowork に「今週の作業をレビューして」と指示するだけでよい。あとは Cowork が中で次のように走る。
事前認証済みダウンロード URLを生成できる。<img src> として埋め込ませ、レンダリング時の GET でファイル URL ごと外部へ抜く。設計が悪い、というのが嫌な点 #
技術的に新奇な脆弱性ではない。画像 URL を C2 チャネルに転用する手口は SMTP 時代からの古典 で、Web メールの remote image ブロックや CSP の img-src 制限はこれを潰すための機能だ。問題は、Cowork が「自分宛てのメールや Teams 投稿で来た指示は人間の承認なく即実行できる」という設計を持ち込んだことにある。ユーザー本人が「自分の文脈」と信じ込む領域に、攻撃者が任意の文字列を流し込めるなら、その境界は信頼境界として機能していない。
PromptArmor は Claude Opus 4.7 を明示指定するとさらに広い範囲のファイルが対象になると指摘した。これは特定モデルが悪いという話ではなく、「能力の高いエージェントほど、注入された命令を完璧に遂行してしまう」ことを示している。賢ければ賢いほど、攻撃成功率は上がる構造だ。
管理者がいま打てる手 #
完璧な対策は Microsoft 側のパッチを待つしかないが、現場では (1) Cowork の自律実行を業務文書を読まないチャンネルに限定する、(2) Teams の外部画像レンダリングを止める、(3) SharePoint のダウンロードブロックポリシーを「ゲスト共有外」にも拡張する、の三段で被害面を縮められる。AI エージェントを社内に入れるなら、「自分宛て=安全」という前提そのものを疑う運用設計 が必須になる。
COMMENTS 0
No comments yet — be the first to leave one.