報告書によると、マイクロソフト コパイロット・コワークは機密ファイルを持ち出すように騙され得る

マイクロソフト コパイロット・コワークはファイル持ち出しのリスクに直面

新しい報告書によると、マイクロソフト コパイロット・コワークは間接的なプロンプトインジェクションによってマイクロソフト 365 から機密ファイルを流出させるよう操作され得るとされ、企業に深刻なセキュリティリスクをもたらします。

この発見は、メール送信やティームズメッセージの自動アクション承認が安全でない点に焦点を当てています。報告書によれば、コパイロット・コワークはプロンプトインジェクション命令を含む改ざんされたスキルファイルによって誘導され、攻撃者がエージェント自身の権限とマイクロソフト・グラフへのアクセスを利用して被害者のマイクロソフト テナントからデータを持ち出すことを可能にします。

コパイロット・コワークはマイクロソフト 365 の Frontier 機能で、ユーザーのマイクロソフト権限で動作し、テナント全体のデータを読み取り操作できます。研究者らは、この攻撃が最先端モデル、例えば クロード・オーパス 4.7 に対しても高い成功率で機能したと述べています。

攻撃の仕組み

マイクロソフトのドキュメントは、コパイロット・コワークがメール送信やティームズへの投稿などの機密性の高い操作を行う前に許可を求めると説明しています。しかし報告書によれば、実際にはアクティブなユーザーに送られたメッセージは人間の承認なしに即座に実行されます。ユーザーはその挙動を変更することもできません。

これが持ち出しの経路を生みます：改ざんされたメッセージには外部の画像やその他のコンテンツが含まれ、アウトルックやティームズで開かれたときにネットワークリクエストをトリガーします。これにより攻撃者が制御するリクエストが発生します。報告書はさらに、コパイロット・コワークがユーザーがアクセスできるファイルの事前認証済みダウンロードリンクを取得できることを指摘しており、そのリンクは受け取った誰でもファイルをダウンロードできるようになります。

報告書で描かれた被害シナリオは、個人識別情報や財務データを含むシェアポイントまたはワンドライブのファイルにアクセス権を持つユーザーが、注入されたプロンプトを含むスキルファイルをコパイロット・コワークにアップロードするというものです。

より広い企業への影響

研究者らは、この問題が単一の注入元に限定されないと述べています。クローム向けのクロードのようなツールのウェブデータや接続されたMCPサーバーから同様の攻撃が発生し得ます。彼らは、このリスクがより広範な問題を反映していると主張します。エージェントに複数のシステムへのアクセスを与えると、それぞれの機能が単独では無害に見えても、プロンプトインジェクションの攻撃対象が拡大します。

メッセージ経由の持ち出し経路とは別に、研究者らはコパイロット・コワークのサンドボックス環境から直接データが外部に出る脆弱性もマイクロソフトに開示したと述べています。

出典：

• プロンプトアーマー.com

Doppler VPNでプライバシーを保って閲覧 — ログなし、ワンタップで接続。