Microsoft Copilot Coworkでファイル流出の脆弱性

Microsoft Copilot Cowork（実際の製品名です）に深刻なセキュリティ脆弱性が発見され、攻撃者がユーザーのOneDriveファイルを不正に取得する可能性があることが明らかになりました。この問題は、エージェントシステムの設計における最大の課題であるデータ流出の防止が依然として難しいことを示しています。

セキュリティ研究者によると、Copilot Coworkのエージェントはユーザーの受信箱にメールを送信できますが、その際に承認は必要ありません。しかし、これらのメールは外部画像を含むことができ、ユーザーがメールを開くと画像の読み込みのために外部サーバーへのネットワークリクエストが発生します。攻撃者はこの仕組みを悪用して、画像リクエスト経由でデータを自サーバーに送信させることができます。

さらに問題を悪化させているのが、OneDriveが事前認証済みのダウンロードリンクを生成できる点です。攻撃者がプロンプトインジェクションによりエージェントを騙してこれらのリンクを漏洩させれば、ユーザーのファイルに直接アクセスできるようになります。この攻撃チェーンは、エージェントの自動化、メールレンダリングの仕組み、クラウドストレージの利便性を組み合わせたもので、「リーサル・トリフェクタ」とも呼ばれる危険なパターンです。

Microsoftは現在この脆弱性を認識していますが、公式な修正はまだリリースされていません。ユーザーはCopilot Coworkの使用を一時的に控えるか、不審なメールに注意する必要があります。この事例は、AIエージェントシステムのセキュリティ設計において、厳格なデータアクセス制御と出力フィルタリングが不可欠であることを改めて示しています。AIエージェントの利便性が急速に高まる中、開発者は自動化のメリットとセキュリティリスクのバランスを慎重に検討し、同様の脆弱性を防ぐ対策を講じる必要があります。