Microsoft 365 Copilotの最新機能「Cowork」に重大な脆弱性が見つかりました。AIセキュリティ企業のPromptArmorが2026年5月26日に発表した調査によると、悪意あるファイルを読み込むだけで、社内の機密ファイルが勝手に外部へ流出する可能性があるとのことです。
この記事でわかること:
- Microsoft 365 Copilot Coworkの脆弱性の仕組み
- ファイルが流出するまでの具体的なプロセス
- Claude Opusなど他のAIエージェントにも同様の問題がある
- 企業が今すぐできるセキュリティ対策
Microsoft 365 Copilot Coworkとは
Coworkは、Microsoftが2026年に提供を開始したAIエージェント機能です。ユーザーに代わってファイルの検索や編集、メール送信、Teamsへの投稿などを自動で実行します。たとえば「先月の売上データをまとめてチームに共有して」と指示すれば、AIが自動でファイルを探し、メッセージを作成して送信します。
このような自動化は便利ですが、その裏側でセキュリティ上の重大な問題が隠れていたのです。
発見された脆弱性の仕組み
今回見つかった脆弱性は「間接プロンプト注入」と呼ばれる攻撃手法によるものです。通常のプロンプト注入とは違い、ウェブページやメール、ファイルなど外部データに埋め込まれた悪意ある指示によって、AIが攻撃者の意図した動作を実行してしまいます。
問題の核心は、Coworkが「ユーザー自身へのメールやTeamsメッセージ送信」を人間の承認なしで自動実行する仕様にあります。通常、AIが重要な操作を行う際には「この操作を実行しますか?」と確認画面が表示されますが、宛先が自分自身の場合、この確認がスキップされてしまうのです。
PromptArmorのセキュリティ研究者は、この仕様を悪用することで、SharePointやOneDriveに保存された機密ファイルを外部に流出させることができると実証しました。つまり、AIの自動化機能が裏目に出て、セキュリティの穴になってしまったということです。
どのようにファイルが流出するのか
具体的な攻撃の流れは以下のとおりです。
ステップ1:悪意あるファイルのアップロード
攻撃者は、悪意ある指示が埋め込まれた「スキルファイル」(AIに読み込ませる設定ファイルのようなもの)をSharePointやOneDriveにアップロードします。このファイル自体は無害に見えるため、ユーザーは気づきません。
ステップ2:AIが悪意ある指示を実行
Coworkがこのファイルを読み込むと、埋め込まれた指示に従って動作を開始します。具体的には「SharePoint内の機密ファイルへのダウンロードリンクを生成せよ」といった指示です。
ステップ3:事前認証済みリンクの生成
Coworkは、指示されたファイルに対して「事前認証済みダウンロードリンク」を生成します。このリンクを持っている人は誰でも、ログインなしでそのファイルをダウンロードできます。
ステップ4:リンクを攻撃者に送信
Coworkは、生成したリンクをTeamsのメッセージに埋め込んで、ユーザー自身に送信します。このとき、メッセージ内に攻撃者が管理する外部画像を挿入します。ユーザーがTeamsでメッセージを開くと、外部画像の読み込みが発生し、その通信ログに機密ファイルのリンクが含まれてしまいます。
ステップ5:攻撃者がファイルをダウンロード
攻撃者は、自分のサーバーに届いたリンクを使って、機密ファイルを自由にダウンロードできます。ユーザーは何も気づかないまま、社内の重要なデータが外部に漏れてしまうのです。
この一連の流れは、すべてAIが自動で実行するため、ユーザーが介入する機会がほとんどありません。攻撃が成功する可能性は非常に高いと言えます。
Claude Opusでも同様の問題が確認される
さらに深刻なのは、この問題がMicrosoftのCopilotに限った話ではないという点です。PromptArmorの調査によると、AnthropicのClaude Opus 4.7でも同様の攻撃が成功することが確認されました。
Claude OpusはClaude Codeなどの開発ツールで使用されており、ファイルの読み書きやコマンド実行の権限を持っています。Autoモード(自動承認モード)を有効にしていると、Copilot Coworkと同じように、ユーザーの確認なしでファイルへのアクセスやネットワーク通信を実行できてしまいます。
つまり、この脆弱性はMicrosoftだけの問題ではなく、エンタープライズAIエージェント全体に共通する構造的な課題だということです。AIが自律的に動くことで利便性が向上する一方で、それがセキュリティのリスクにもなるという、AIエージェント時代の新しいジレンマが浮き彫りになりました。
企業が今すぐできる対策
PromptArmorは、以下のようなセキュリティ対策を推奨しています。
1. ダウンロードブロックポリシーの活用
Microsoft 365には、特定の条件下でファイルのダウンロードを制限する機能があります。たとえば、社外ネットワークからのアクセスや、特定のファイル形式のダウンロードを禁止できます。これにより、万が一リンクが流出しても、攻撃者がファイルをダウンロードできなくなります。
2. アクセス権限の最小化
Copilot Coworkは、ユーザーがアクセスできるすべてのファイルに対して操作を行えます。そのため、従業員ごとに必要最小限の権限だけを付与することが重要です。たとえば、経理部門の社員が営業資料にアクセスできないようにするなど、細かく権限を設定しましょう。
3. Autoモードの慎重な使用
Claude CodeやCopilot Coworkのような自動承認機能は便利ですが、重要な操作を人間の確認なしで実行してしまいます。機密情報を扱う環境では、Autoモードをオフにし、重要な操作は必ず手動で承認するようにしましょう。
4. 外部ファイルの検証
社外から受け取ったファイルや、信頼できないソースからのファイルをSharePointやOneDriveにアップロードする際には、必ず内容を確認してから読み込むようにしましょう。特に、AIに読み込ませるスキルファイルや設定ファイルには注意が必要です。
5. セキュリティ更新プログラムの適用
Microsoftは2026年5月のセキュリティ更新で、Copilot関連の脆弱性「CVE-2026-26164」と「CVE-2026-33111」を修正しました。これらは今回報告されたCoworkの脆弱性とは別の問題ですが、定期的にセキュリティパッチを適用することで、既知の脆弱性から組織を守ることができます。
まとめ
- Microsoft 365 Copilot Coworkに「間接プロンプト注入」による脆弱性が発見された
- 悪意あるファイルを読み込むだけで、SharePointやOneDriveの機密ファイルが流出する可能性がある
- AIが自分宛てのメールやTeamsメッセージを自動送信する仕様が原因
- Claude Opus 4.7など、他のAIエージェントでも同様の攻撃が成功することが確認された
- 企業は、ダウンロードブロックポリシーの活用、アクセス権限の最小化、Autoモードの慎重な使用などの対策が必要
- AIエージェント時代のセキュリティは、従来のサイバーセキュリティとは異なる新しいアプローチが求められる
AIエージェントは、私たちの仕事を劇的に効率化する一方で、新しいセキュリティリスクも生み出しています。企業は、利便性とセキュリティのバランスを慎重に見極めながら、AIツールを導入していく必要があるでしょう。
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
