Microsoftの最新AIイノベーションが、セキュリティ上の負債となっています。テック大手はBuild 2025でConnected Agentsを発表しました。これはCopilot Studioの機能で、AIエージェントが環境をまたいで通信し、機能を共有できるようにするものです。
Zenity Labsのセキュリティ研究者は、攻撃者が組織になりすまし、検知されることなく不正な操作を実行できてしまう重大な設計上の欠陥を明らかにしました。
Connected Agentsは、シンプルなトグルスイッチで動作し、エージェントの機能、ツール、ナレッジ、トピックを同一環境内の他のエージェントに公開します。
この設計により、従来のプログラミングで関数を再利用するのと同様に、コードの重複が排除されます。たとえば、メール送信を行うよう構成されたエージェントは、同じ機能を複製することなく、複数の他エージェントから呼び出せます。
しかし、この利便性には深刻なセキュリティコストが伴います。この機能はすべてのエージェントで既定で有効になっており、即座に露出が生じます。
管理者は、Copilot Studioのネイティブインターフェース上で、どの外部エージェントが自社システムに接続しているのかを把握できません。
最も懸念すべきなのは、接続されたエージェントの呼び出しが、呼び出された側エージェントの監査証跡にアクティビティログを一切生成しない点で、セキュリティチームから不正な接続が見えなくなることです。
会社の公式アドレスからメールを送信するよう設定されたカスタマーサポートエージェントを考えてみてください。
Connected Agentsは自動的に有効化されるため、悪意ある内部関係者や侵害されたアカウントによって作成されたものを含め、環境内の他のどのエージェントでもこのメール送信機能を呼び出せます。
テナントへのアクセス権を持つ攻撃者は、正規のサポートエージェントに接続する不正エージェントを展開し、詐欺的な通信の送信を開始できます。
なりすましの可能性は無限です。従業員や顧客を狙ったフィッシングキャンペーン、ブランド評判を損なう誤情報の拡散、あるいはドメインのブロックリスト登録を招くスパムなどが考えられます。
侵害されたエージェントが公開アクセス可能であれば、認証されていないインターネットユーザーがメール送信機能を悪用でき、脅威の対象領域が指数関数的に拡大します。
Microsoftのログ設計は、この脆弱性をさらに悪化させます。接続されたエージェントが他のエージェントを呼び出しても、アクティビティタブには記録が表示されません。防御側は、Copilot Studioのネイティブな監視機能では悪用を検知できません。
Zenity Labsによれば、可視性を提供できるのは同社プラットフォームのようなサードパーティ製ソリューションのみですが、多くの組織はそのような専門ツールを備えていません。
組織は、Copilot Studio環境内の接続エージェントを直ちに監査すべきです。金融取引、メール通信、データアクセスなどの重要な運用を扱う機微なエージェントでは、この機能を無効化してください。
エージェントの共有は、信頼できる社内ユーザーのみに厳格に制限してください。エージェント間通信を追跡するために、サードパーティの監視ソリューションを導入してください。
資格情報を要する特権操作をエージェントが実行する前に、承認ワークフローを確立してください。
Connected Agentsは、AIオーケストレーションの革新が、適切なアーキテクチャ上の安全策がなければ、意図せずセキュリティ上のバックドアを生み出し得ることを示しています。