M365 Copilotの致命的欠陥、2FAコード窃取を許す

マイクロソフトCopilotエンジニア経営者リスク脆弱性

発見された脆弱性

最高深刻度の致命的脆弱性
メールから2FAコード窃取
Varonisが実証コードを公開
Microsoftが先週に修正済み

攻撃の仕組み

URLのqパラメータ経由のプロンプト注入
ガードレールを回避する手口
命令と外部内容を区別不能な根本欠陥
出典:Ars Technica
詳細を読む

Microsoftは2026年6月、同社のAI基盤「M365 Copilot」に存在した最高深刻度(致命的)脆弱性を修正しました。発見・報告したセキュリティ企業Varonisは6月15日、概念実証の攻撃コードがCopilotのアクセス可能なメールから二要素認証(2FA)コードなどの機密情報を抜き取れたことを明らかにしました。

根本原因は、AIがユーザーからの指示と、要約や返信作成のために読み込む第三者コンテンツに紛れ込んだ指示とを区別できない点にあります。この境界を安全に守る方法が存在しないため、MicrosoftをはじめとするLLM提供各社は、被害を抑えるための場当たり的なガードレールを積み重ねるしかない状況です。

Copilotには、Webフォーム送信やメール送信などデータ持ち出しにつながる操作を禁じるガードレールが組み込まれています。攻撃者はこれを回避するため、HTMLタグを使わずに見出しやリンクを付与できるマークアップ言語を悪用したり、機密データを

タグで包んだりしました。いずれの場合も、データを含むWeb要求が攻撃者のサーバーに届き、ログに記録されます。

Varonisが考案した攻撃連鎖は、まずパラメータ・トゥ・プロンプト注入と呼ぶ手法を用います。これはURLのクエリを示す「q」パラメータに悪意ある命令を仕込むもので、メールなどの本文に命令を埋め込む従来のプロンプト注入の近縁にあたります。

Microsoftは、Copilotの出力をブロックで囲んでブラウザに文字列として扱わせたり、明示的な承認なしに訪問できるサイトを制限したりする防御を設けていました。しかし今回の手口はこうした複数のガードレールを次々と乗り越えており、AIエージェントを業務に組み込む経営者エンジニアにとって、外部入力の扱いが依然として大きなリスクであることを示しています。

関連トピック
AI時代の防御、鍵は機械速度の検証力
2026-06-15
NanoClawとJFrog、AIエージェントの悪性コード遮断で提携
2026-06-12
OpenAIが本番会話の再現でモデル挙動を事前予測
2026-06-16
AIエージェント、管理の自己申告と実態に43ポイントの溝
2026-06-15
NewCoreがAIエージェント用ID基盤で66億円調達
2026-06-15