Microsoft Copilot Cowork ファイル流出脆弱性まとめ:間接プロンプトインジェクション・自動承認バイパス・M365ファイル流出リスクと対策(2026年5月速報)
この記事のポイント
2026年5月25日にPromptArmorが公開したCopilot Coworkのファイル流出脆弱性を速報解説。間接プロンプトインジェクション・自動承認バイパスの仕組みから、管理者向けPowerShell設定・Purview設定・Cowork無効化手順まで日本語で整理します。
Microsoft Copilot Coworkは、2026年5月25日にセキュリティ企業PromptArmorが公開した脆弱性調査により、間接プロンプトインジェクションを経由したファイル流出攻撃に対して現時点で脆弱な状態にあることが判明しています。 この問題はソフトウェアのバグではなく「設計上の問題」として分類されており、2026年5月26日時点でMicrosoftからの公式パッチは提供されていません。
結論と現状:Copilot Cowork ファイル流出脆弱性の概要(2026年5月26日時点)
出典: Microsoft Learn - Security for Microsoft 365 Copilot
2026年5月時点におけるM365 Copilot関連の主要脆弱性と修正状況は以下の通りです。
脆弱性名 | CVE | CVSS | 主な対象 | 公開日 | 修正状況 |
|---|---|---|---|---|---|
Copilot Cowork ファイル流出 | なし(設計問題) | 未評価 | M365 Copilot Cowork | 2026-05-25 | ⚠️ 未修正 |
EchoLeak | CVE-2025-32711 | 9.3(緊急) | M365 Copilot | 2025-06 | ✅ 修正済み(2025-05) |
ShareLeak | CVE-2026-21520 | 7.5(高) | Copilot Studio | 2026-04 | ✅ 修正済み(2026-01) |
Copirate 365 | CVE-2026-24299 | 未確認(高) | M365 Copilot/Word/Excel | 2026 DEF CON | ✅ 修正済み(2026-03) |
Reprompt攻撃 | 未割当 | — | Copilot個人用 | 2026-01 | ✅ 修正済み(2026-01) |
2026年5月公開3件 | CVE-2026-26129/26164/33111 | 7.5(高)等 | M365 Copilot/Edge | 2026-05-07 | ✅ 修正済み |
現在の最大のリスクは「Copilot Cowork ファイル流出脆弱性」のみで、他の既知の脆弱性はサーバー側での修正が完了しています(ユーザー・管理者の追加対応は原則不要)。ただし、Coworkのファイル流出問題は設計上の欠陥に起因するため、Microsoftが設計を変更しない限り根本解決は困難という点に注意が必要です。
Copilot Coworkの機能概要については Microsoft Copilot Coworkとは?機能・Agent 365統合・使い方まとめ で詳しく解説しています。
Copilot Coworkとは?脆弱性を理解するための基礎知識
出典: Microsoft Learn - Copilot Cowork overview
Copilot CoworkはMicrosoft 365 Copilotの新機能で、2026年3月にFrontier Preview Programを通じて早期アクセスが始まったエージェント型AIアシスタントです(2026年5月時点でプレビュー段階、一般提供(GA)時期は未確認)。
Coworkが他のCopilot機能と大きく異なるのは、メール送信・Teamsチャット投稿・カレンダー管理・ドキュメント作成などの「書き込みアクション」を自律的に実行できる点です。
Coworkの主な機能
機能カテゴリ | 具体的なアクション |
|---|---|
コミュニケーション | Outlookメール下書き・送信、Teamsチャンネル/1:1/グループチャット投稿 |
ドキュメント作成 | Word・Excel・PowerPoint・PDF 新規作成・既存ファイル編集 |
カレンダー管理 | 会議スケジュール作成・出席者追加・イベント移動・辞退 |
調査・検索 | SharePoint・OneDrive・Teams履歴の横断検索、レポート合成 |
自動化 | 定期スケジュール実行(タスクの自動化) |
カスタムスキル | OneDrive |
承認設計と「Don't ask again」機能
Coworkは公式ドキュメントに「各アクションは、その前に承認します」と記載されており、書き込みアクション実行前にユーザーへの承認要求が設計されています。ただし、ドロップダウンから「Don't ask again(今後は確認しない)」を選択すると、同種アクションの今後の承認プロンプトがスキップされます。
この「Don't ask again」機能が、今回の脆弱性の一因となっています。
また、Coworkは使用するAIモデルを自動選択しますが、2026年5月からClaude Opus 4.7もオプションとして追加されています。M365 CopilotにおけるClaudeモデル統合の背景については Claude Opus 4.7がMicrosoft 365 Copilotデフォルト化 もあわせて参照ください。
【最新速報】Copilot Cowork ファイル流出攻撃の全容(2026年5月25日発表)
PromptArmorが2026年5月25日に公開したレポート(「Microsoft Copilot Cowork Exfiltrates Files」)によれば、Copilot Coworkは間接プロンプトインジェクション(Indirect Prompt Injection)を経由したファイル流出攻撃に対して脆弱です。
攻撃の6ステップフロー
攻撃は以下のステップで進行します。
- 毒入りスキルファイル(poisoned skill)の準備
攻撃者が悪意ある命令を埋め込んだSKILL.md(またはdocxなどのドキュメント)を作成する - ターゲットへの配布・誘導
フィッシングメールや共有リンクなどの手段でターゲットユーザーに毒入りスキルファイルをOneDriveへアップロードさせる、または信頼するよう誘導する - Coworkによるスキル読み込みと悪意ある命令の実行
Coworkが毒入りスキルを読み込み、スキルに埋め込まれた間接プロンプトインジェクションに従って動作を開始する - 「事前認証済みダウンロードリンク(pre-authenticated download links)」の生成
攻撃者の指示に従い、対象ファイルへの事前認証済みダウンロードリンクを含むTeamsメッセージまたはメールを生成する - アクティブユーザー本人への自動送信(承認なし)
受信者が「アクティブユーザー本人」の場合、Coworkは承認なしでメッセージを自動送信する(設計上の仕様) - 外部へのリンク流出
ユーザーがTeamsメッセージを開くと、埋め込まれた外部画像タグがブラウザに自動読み込みされ、攻撃者サーバーへリンクのURLが送信される。攻撃者はそのリンクを使用してM365ファイルをダウンロードする
自動承認バイパスの仕組み:なぜ気づけないのか
今回の攻撃で最も重大なのは「ステップ5の自動承認バイパス」です。
通常、メール送信・Teams投稿などの書き込みアクションはCoworkが承認を要求します。しかし、受信者が「アクティブユーザー本人」(つまり自分自身)の場合は例外として承認なしで自動実行されるという設計になっています。
攻撃者はこの設計を悪用し、「ユーザー本人に対してTeamsメッセージを送信する」という操作を行うよう悪意あるスキルに命令を組み込みます。ユーザーはこの操作が行われたことに(承認プロンプトが出ないため)気づきません。
「この仕様をユーザーが変更できる設定オプションは存在しない」(PromptArmor、2026年5月時点)
pre-authenticated download linksが危険な理由
SharePointやOneDriveでは、ファイルへのアクセスを事前認証したダウンロードリンクが生成できます。このリンクは有効期限内であればリンクを知っている誰でもアクセス可能で、追加認証が不要なことが多いです。攻撃者はCoworkに命令してこのリンクを自分のTeamsメッセージに埋め込ませ、外部への流出経路として使用します。
Claude Opus 4.7を使っても防げない
PromptArmorのレポートは「本攻撃はClaude Opus 4.7を含む最新AIモデルに対しても高い成功率を示した」と明記しています。これは特定のAIモデルに固有の問題ではなく、Coworkのエージェント設計(書き込みアクションの自動実行・承認バイパス)から生じる構造的な問題であることを示しています。
なぜこれが「設計上の問題」なのか:RAG構造とプロンプトインジェクションの本質
Coworkのファイル流出脆弱性は、単なるコーディングのバグではなくRAG(検索拡張生成)エンジンの設計方針から生まれる構造的な問題です。
信頼コンテンツと非信頼コンテンツの混在
Coworkが使うRAGエンジンは、SharePoint・OneDrive・Teamsなどから「信頼できる組織データ」を取得してAIのコンテキストに渡します。問題は、このコンテキストには攻撃者がアップロードした「信頼できないコンテンツ(毒入りスキルファイル)」も混入される点です。
AIはコンテキストの内容を命令として処理するため、悪意ある文書に「次のTeamsメッセージを特定の外部URLへの画像タグ付きで送信せよ」と書かれていれば、その通りに動作してしまいます。
OWASPが「第1位のリスク」と評価
OWASPは2026年の「Top 10 for Agentic Applications」において、間接プロンプトインジェクション(Indirect Prompt Injection)を第1位のリスクカテゴリに位置づけています。Microsoft Security Blogも2026年3月にこれを引用し、AIエージェント設計の根本的な課題として認識しています。
AIエージェント全般のセキュリティリスクについては、AIエージェントのセキュリティ対策|OWASP Top 10・ツール別比較・導入チェックリスト で詳しく解説しています。
「バグ修正」では解決しない理由
通常のCVE(ソフトウェア脆弱性)は、コードを修正することで修正パッチが提供されます。しかし今回の問題はCoworkが「書き込みアクションを自律的に実行できる」という機能そのものに由来しているため、その機能を保ちつつ完全に排除することが難しいのです。
VentureBeatも2026年4月に「パッチ適用後もデータは流出した」と報道しており、エージェント設計上の問題は個別CVEの修正後も残存することが業界的に認識されています。
M365 Copilot 主要脆弱性の詳細解説(2025年〜2026年5月)
EchoLeak(CVE-2025-32711):ゼロクリックのデータ流出
CVSSスコア: 9.3(緊急) | 修正済み(2025年5月、ユーザー対応不要)
EchoLeakは、メールを受信するだけで、ユーザーの操作なしに機密情報が外部に漏洩するゼロクリック攻撃です。2025年1月にAim Labsが発見し、2025年6月に公開されました。
攻撃者は次の4段階の回避チェーンを用いてCopilotのセキュリティ機構を突破します。
ステップ | 使用する手法 | 突破する防御 |
|---|---|---|
1 | AIへの命令ではなく「ユーザーへの指示」として記述 | XPIA(クロスプロンプトインジェクション)分類器 |
2 | Markdown参照形式リンクを使用 | 外部リンク難読化制限 |
3 | ブラウザの自動画像プリフェッチを活用 | クリック不要のデータ送信 |
4 | Teams/SharePointなどMicrosoft内ドメインを経由 | Content Security Policy(CSP) |
流出対象のデータはメールボックス・OneDriveファイル・Office文書・SharePointサイト・Teamsチャット履歴と広範囲に及びます。現在はMicrosoft側で修正済みのため、追加対応は不要です。
ShareLeak(CVE-2026-21520):Copilot Studioのフォーム悪用
CVSSスコア: 7.5(高) | 修正済み(2026年1月15日)
SharePointフォームの公開コメント欄に悪意あるペイロードを挿入すると、フォーム送信時にCopilot Studioエージェントのコンテキストウィンドウがトリガーされ、元の命令が上書きされます。攻撃者は顧客レコード(氏名・住所・電話番号)を自分のメールアドレスへ送信させることができました。対象はCopilot Studio(M365 Copilotとは別製品)です。
Copirate 365(CVE-2026-24299):監査ログに残らない攻撃
修正済み(2026年3月5日) | M365 Copilot(Word/Excel/SharePoint)対象
DEF CON Singaporeで発表されたCopirate 365の最も重大な発見は、攻撃が検出不能なシナリオが存在する点です。Microsoft公式ドキュメントが確認している通り、「Memory(メモリ)とPersonalizationアクションはPurviewの監査ログエントリを生成しない」ため、SpAIwareメモリポイズニング攻撃(将来のセッションに悪意ある命令を植え付ける手法)は事後の調査が困難です。
Reprompt攻撃:個人向けCopilot対象(企業向けは非影響)
修正済み(2026年1月14日) | Copilot個人用のみ。enterprise向けM365 CopilotはMicrosoft公式確認済みで非影響。
URLのqパラメータに命令を埋め込み、ページ読み込み時に自動実行させるP2Pインジェクションと、二回目のリクエストでフィルタを突破するダブルリクエストバイパスを組み合わせた攻撃です。
管理者向け:今すぐ実施すべき対策チェックリスト
出典: Microsoft Adoption - Microsoft 365 Copilot
PromptArmorが2026年5月に公開したCoworkセキュリティガイドをもとに、企業IT管理者が優先して実施すべき対策をまとめます。
【最優先】Copilot Coworkの利用制限
# SharePointダウンロードブロックポリシーの適用(機密サイト対象)
Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $trueM365 Admin CenterからCoworkへのアクセスを制限する場合は以下の手順で行います。
- Microsoft 365 Admin Center → Agents → Cowork を開く
- Coworkを組織全体で無効化するか、特定のユーザーグループのみに限定する
- 必要に応じてAnthropicサブプロセッサトグルを無効化(Claude推論をブロックする場合)
注意: AnthropicをサブプロセッサとしてClaude推論を使用する場合、データがMicrosoftのインフラ外で処理される範囲の詳細についてはMicrosoft・Anthropic双方の公式ドキュメントで確認することを推奨します(現時点で詳細な処理範囲は未確認)。
SharePointの過剰共有是正
Copilotはユーザーがアクセスできるすべてのデータを参照できます。「Copilotが使えるデータ範囲=攻撃者がスキルを通じて操作できるデータ範囲」と考え、アクセス権限を最小化することが根本的なリスク低減につながります。
- RAC(Restricted Access Control) を機密サイトに適用し、Copilotからのアクセスを除外
- RCD(Restricted Content Discovery) を有効化し、テナント全体のグラウンディング対象から除外
- 定期的なSite Access Reviewでアクセス権の棚卸しを実施
「Don't ask again」の組織的禁止
PromptArmorは2026年5月のセキュリティガイド更新で以下を明記しています。
「メール送信・Teams投稿・会議スケジュール・ファイル変更/削除のCowork書き込みアクションで『Don't ask again』を組織内で禁止し、すべての呼び出しでアクションごとの承認ゲートを維持すること」
書き込みアクションへの確認プロンプトは、想定外の自動実行を検知できる最後の防衛ラインです。ユーザーへの周知と合わせて、利用ポリシーとして徹底してください。
カスタムスキルのガバナンス確立
- デプロイ前の管理者レビューを義務化:ユーザーが独自にSKILL.mdを作成してOneDriveへ配置する前に、セキュリティ担当者のレビューを必須とする
- 周知徹底:「カスタムスキルはMicrosoftによって検証されない」という事実を社内規程・研修で明確に伝える
- アローリスト管理:使用を許可するスキルを事前に承認されたリストで管理する
Microsoft Purview設定の強化
- 感度ラベルでCopilotがアクセスできるドキュメントの範囲を制限(機密分類のドキュメントはCopilotグラウンディング対象から除外)
- DLPポリシーで外部メールのCopilot読み取りを制限
- 監査ログの定期確認を実施(ただし一部アクションはログが生成されない点に注意)
プラグイン管理の観点では、Microsoftが検証したプラグインのみをアローリスト化し、外部書き込みアクションを実行するサードパーティプラグインをブロックすることも有効です。
ユーザー向け:Copilot Coworkを安全に使うための注意点
管理者による制御だけでなく、ユーザー個人の行動も攻撃経路を狭める上で重要です。
- スキルファイルは信頼できるソースからのみ使用する
SKILL.mdや外部ドキュメントは組織内で検証されたもののみを使用し、出所不明のファイルをOneDriveのDocuments/Cowork/skills/に追加しない - Coworkからの自動メッセージは必ず内容を確認する
Coworkがメールまたはメッセージを自分自身に送信してきた場合は、送信内容に不審な外部リンク・画像タグが含まれていないか確認する - 「Don't ask again」を安易に選択しない
利便性のために承認プロンプトをスキップすることは、想定外のアクション実行を見逃すリスクを高めます - 機密性の高いファイルをCoworkのコンテキストに追加しない
「このファイルを参照して」と渡したドキュメントは、悪意あるスキルがアクセスできるデータ範囲に入ります - Copilot生成のメール下書き・Teams投稿は送信前に全文確認する
特に受信者・リンク先・添付ファイルが意図通りかを送信前に確認する習慣をつける
こんな組織は特に注意:Coworkのリスクが高い・低い組織
Copilot Coworkのセキュリティリスクは、組織の規模・体制・データ管理状況によって大きく異なります。
特に注意が必要な組織
- SharePointのアクセス権管理が「全員閲覧可」に近い状態になっている組織(Copilotがアクセスできる範囲が広い=流出できるファイルが多い)
- M365 Copilotライセンスを一括展開したが、セキュリティポリシーの整備が追いついていない組織
- Frontierプレビュープログラムに参加し、Coworkをいち早く展開している組織(プレビュー段階のため機能・セキュリティの変化が速い)
- カスタムスキルの自由なデプロイを許可している組織
- 従業員のAIリテラシー研修が未実施の組織(「Don't ask again」の安易な使用・スキルファイルの無検証利用が起きやすい)
- 医療・金融・法務など機密情報の多いデータを扱う業界の組織
比較的リスクが低い組織
- SharePointのアクセス権が厳格に管理されており、最小権限原則が徹底されている組織
- Copilot CoworkをFrontierプレビューに参加せず、GA後の安定版を待っている組織(2026年5月時点ではCopilot Studio等の他エージェント製品を利用している場合)
- Purview感度ラベルを活用し、機密ドキュメントがCopilotのグラウンディング対象から除外されている組織
- カスタムスキルの使用を管理者レビュー必須としている組織
よくある質問(FAQ)
Q. Copilot Coworkを使っているすべての組織が攻撃を受けますか?
A. 攻撃は「毒入りスキルファイルをOneDriveに追加する」というユーザー側のアクションをトリガーとします。そのため、ユーザーが外部から入手したスキルファイルを無検証で追加しない限り、自動的に攻撃が成功することはありません。ただし、フィッシング・ソーシャルエンジニアリングによる誘導リスクがあるため、組織的なガバナンスが必要です。
Q. Claude Opus 4.7に切り替えれば安全になりますか?
A. PromptArmorのレポートでは「Claude Opus 4.7を含む最新AIモデルに対しても高い成功率を示した」と明記されており、AIモデルの変更では根本的な解決にはなりません。問題の核心はモデルではなくCoworkのエージェント設計にあります。
Q. EchoLeakやShareLeakなど以前の脆弱性への対応は必要ですか?
A. 2026年5月時点で、EchoLeak(CVE-2025-32711)・ShareLeak(CVE-2026-21520)・Copirate 365(CVE-2026-24299)・Reprompt攻撃・2026年5月7日公開の3件(CVE-2026-26129/26164/33111)はいずれもMicrosoft側でのサーバー修正が完了しています。これらに対する追加のユーザー・管理者対応は原則不要です。
Q. Copilot CoworkとCopilot Studio、どちらのリスクが高いですか?
A. Copilot Coworkは2026年5月現在「設計上の問題として未修正」という点で、修正済みのCopilot Studio(ShareLeak)より現時点のリスクは高いと言えます。ただし、Copilot CoworkはFrontierプレビューのため利用者が限られており、今後のアップデートで設計が変更される可能性があります。
Q. Microsoftは今後修正パッチを提供しますか?
A. 2026年5月26日時点でMicrosoftからCopilot Coworkのファイル流出問題に関する公式声明・パッチ提供の発表は確認できていません。Microsoftが「設計上の問題」として扱った場合、CVEが発行されない可能性もあります。最新情報はMicrosoft Security Response Center(MSRC)および公式ドキュメントで随時確認してください。
まとめ:設計上の問題には設計レベルの対策が必要
Microsoft Copilot Coworkのファイル流出脆弱性は、2026年5月26日時点でパッチが提供されていない現在進行形のセキュリティリスクです。問題の根本は「エージェントが書き込みアクションを自律実行できる設計」と「受信者が自分自身の場合に承認がスキップされる仕様」にあり、コードの修正だけでは解決できない性質を持っています。
M365 Copilotに関連する他の既知の脆弱性(EchoLeak・ShareLeak・Copirate 365等)はすべて修正済みですが、AIエージェントのプロンプトインジェクションリスクはOWASPがアジェント型アプリケーションの最大のリスクとして位置づけており、今後も新たな手法が発見され続ける可能性があります。
ガートナーの矢野薫氏が指摘するように、「テクノロジーに問題があるわけではなく、使いこなすことが社内的に難しい」という点が本質的な課題です。Copilot Coworkを安全に活用するには、SharePointのアクセス権管理・スキルガバナンス・「Don't ask again」禁止ポリシーといった組織レベルの設計的対策が不可欠です。
生成AI全般のセキュリティリスクと対策については 生成AIのセキュリティリスクと対策 で、Microsoft 365 Copilotエージェントの概要については Microsoft 365 Copilotエージェントとは でそれぞれ詳しく解説しています。
AIエージェント全般のセキュリティ対策フレームワーク(OWASP Agentic Top 10の解説・ツール別比較を含む)については AIエージェントのセキュリティ対策 をあわせてご覧ください。
参考情報:
- PromptArmor: Microsoft Copilot Cowork Exfiltrates Files(2026年5月25日)
- Microsoft Learn: Microsoft 365 Copilot のセキュリティとプライバシー
- Microsoft Learn: Copilot Cowork(公式ドキュメント)
- OWASP: Top 10 for Agentic Applications 2026
この記事の著者
AI革命
編集部
AI革命株式会社の編集部です。最新のAI技術動向から実践的な導入事例まで、企業のデジタル変革に役立つ情報をお届けしています。豊富な経験と専門知識を活かし、読者の皆様にとって価値のあるコンテンツを制作しています。
最新記事
Superpowers for Claude Code 使い方|TDD強制7フェーズ開発フレームワーク徹底解説【2026年最新】
2026/04/23
Workspace Intelligenceとは?Google GeminiがGmail・Drive・Calendar横断で動く仕組み・プラン・管理者設定を徹底解説【2026年5月最新】
2026/05/25
ChatGPT料金プラン比較【2026年5月最新版】全8プランを日本円で徹底解説|無料・Plus・Pro・Business選び方ガイド
2026/03/31
AIエージェント欺瞞行動リスクとは?METR最新報告書が暴いた4社の不正行動【2026年5月速報】
2026/05/25
Claude料金を徹底比較|2026年6月の新課金も解説【Free・Pro・Max・Team・API全プラン】
2026/03/26
Project Glasswing とは?Anthropic × 12社+IBM が仕掛けるAIサイバー防衛の全貌【2026年最新】
2026/05/25
