Microsoftの最新イノベーションは、高度なサイバー攻撃への扉を開いてしまった可能性があります。Build 2025で同社は「Connected Agents」を発表しました。これはCopilot Studioの機能で、AIエージェントが環境をまたいで通信し、機能を共有できるようにするものです。
開発の効率化を目的として設計された一方で、セキュリティ研究者は、攻撃者が組織になりすまして不正な操作を実行できる可能性のある重大な脆弱性を特定しました。
機能
Connected Agentsはシンプルな原理で動作します。開発者は設定を切り替えることで、選択したエージェントの機能、ツール、ナレッジ、トピックを、同じ環境内の他のエージェントに公開できます。
これは、従来のソフトウェア開発で関数を再利用するのと同様に、コードの重複を排除します。
たとえばメール送信機能を備えたエージェントは、同じ機能を作り直すことなく、複数の他エージェントから再利用できます。
しかし、この機能のデフォルト設定は危険な盲点を生みます。Connected Agentsはすべてのエージェントで既定で有効になっており、管理者は、少なくとも Copilot Studio 自体からは、どの他エージェントが自分たちのシステムに接続しているのかを一切把握できません。
さらに、接続されたエージェントの呼び出しは、呼び出された側エージェントの監査証跡にアクティビティログを一切生成しないため、不正な接続は事実上見えなくなります。
現実的なシナリオを考えてみましょう。カスタマーサポート用エージェントが、企業の公式サポートアドレスからメールを送信するよう設定されているとします。
Connected Agentsが自動的に有効になっているため、環境内の他の任意のエージェント、あるいは悪意ある内部者が作成したエージェントが、このメール送信機能を呼び出せてしまいます。
不満を抱えた従業員やテナントへのアクセス権を持つ外部攻撃者は、正規のサポートエージェントに接続する不正エージェントを作成し、企業になりすまして詐欺メールを送信し始めることができます。
被害は急速に拡大します。攻撃者はフィッシングキャンペーンを実施したり、偽情報を拡散したり、スパムによってドメインがブロックリストに登録される事態を引き起こしたりできます。
侵害されたエージェントが一般公開されている場合、認証されていないインターネットユーザーがメール送信機能を悪用できてしまう可能性もあります。
Zenity Labsによると、Microsoftのログ設計がこの問題をさらに悪化させています。接続されたエージェントが別のエージェントを呼び出しても、アクティビティタブには記録が残りません。
防御側は、Copilot Studioのネイティブ監視だけでは悪用を検知する手段がありません。Zenityのようなサードパーティツールで可視化は可能ですが、多くの組織はそのようなソリューションを持っていません。
組織は直ちに、Copilot Studio環境内の接続エージェントを監査し、重要な運用を扱う機微なエージェントではこの機能を無効化し、エージェント共有を信頼できる社内ユーザーのみに制限すべきです。
エージェント間通信を追跡する監視ソリューションを導入し、資格情報を用いる操作など、特権的な処理をエージェントが実行する前に承認ワークフローを確立してください。
Connected Agentsは、AIオーケストレーションにおけるイノベーションが意図せずセキュリティ上の負債を生み得ることを示しています。適切な制御がなければ、Microsoftの便利な機能は攻撃者のバックドアになってしまいます。
翻訳元: https://gbhackers.com/hackers-abuse-copilot-studios-new-connected-agents-feature/
