AIセキュリティ企業が、Microsoft 365 CopilotのAIエージェント機能「Cowork」において、間接プロンプト注入によりSharePointやOneDrive上のファイルが外部に流出する可能性があると警告。悪意あるスキルファイルを経由した攻撃手法が明らかになった。
AIセキュリティ企業は、Microsoft 365 CopilotのAIエージェント機能「Cowork」において、「SharePointやOneDrive上のファイルが間接プロンプト注入によって流出する可能性がある」と指摘した。
Microsoft 365 Copilot Coworkは、ユーザーの代わりにメール送信、Teams投稿、文書作成、会議設定、組織内検索などを実行できるAIエージェント機能だ。Microsoftの説明では、Coworkはユーザーが持つ権限の範囲で動作し、メール送信やTeams投稿のような機密性の高い操作では承認ダイアログを表示するとされている。
攻撃の対象となるのは、SharePointやOneDriveに個人情報や金融情報を含むファイルを保存しており、AIエージェントがそれらの機密情報にアクセスできる状態のPCだ。
攻撃の流れは次の通りだ。まず被害者が、インターネットなどから入手した悪意あるスキルファイルをCopilot Coworkにアップロードする。スキルファイルは「weekly-review」など無害そうな名前が付けられており、説明文には「過去7日間の作業中ドキュメントをレビューし、Teamsの自分宛てチャットに個人用の履歴スナップショットを投稿する」といった通常の業務支援に見える内容が記載されている。
その後、ユーザーが「1週間の作業をレビューして」とCoworkに依頼するところから攻撃が始まる。Coworkは作業履歴をまとめるためにスキルファイルを読み込むが、スキルファイル内に含まれる悪意ある指示によって、SharePointやOneDrive上のファイルに対する事前認証済みダウンロードリンクを取得するよう誘導される。事前認証済みダウンロードリンクとは、リンクを開いた人がファイルをダウンロードできる形式のリンクだ。
なお、ユーザーから見える作業ログだけでは悪意ある内容を確認しにくい点も指摘されている。
Teamsの自分宛てチャットに投稿された週次レビューをユーザーが開くと、メッセージ内の外部画像によって通信が発生し、攻撃者側にファイルの事前認証済みダウンロードリンクが送られる。攻撃者は受け取ったリンクを開くことで、SharePointやOneDrive上のファイルをダウンロードできる仕組みだ。
対策としては、ダウンロードブロックポリシーの適用が挙げられる。ただし、このポリシーは業務上の使い勝手にも影響するため、Microsoftは組織で使っているアプリとの動作を確認するため、一部ユーザーでポリシーを有効化してテストすることを推奨している。
