Copilot Studioの機能により、気付かれないAIバックドアが可能に

MicrosoftがCopilot Studioで新たに発表したConnected Agents機能は、研究者が企業システムへのステルスなバックドアアクセスを得るために悪用できることを実証したことで、すでにセキュリティ上の懸念を招いています。

Build 2025で公開されたこの機能は、AIエージェント同士が接続して互いの機能を再利用できるようにしますが、攻撃者がこれを悪用して可視性の制御を回避し、検知されることなく機微な操作を実行する可能性があります。

「Connected Agents機能を有効にするあらゆるエージェントは、インターネット全体から匿名でアクセス可能になると常に想定すべきです」と、Zenity Labsの研究者は分析の中で述べています。

Copilot Studioのエージェント可視性の問題

Copilot Studioは、カスタマーサポート、社内ワークフロー、業務コミュニケーションの自動化にますます利用されており、しばしば機密データや特権ツールへのアクセスを伴います。

Connected Agentsは新規エージェントで既定で有効になっているため、多くの組織は気付かないうちにすでに露出している可能性があります。

有効化されている場合、Connected Agents機能により、同一環境内の他の任意のエージェントが、あるエージェントのナレッジ、ツール、トピックにアクセスできるようになります。

Copilot Studioには現在、どのエージェントが特定のエージェントに接続したかを確認するための組み込み手段がありません。

概念実証（PoC）デモでは、Zenity Labsが、攻撃者が悪意あるバックドアエージェントを作成し、同じCopilot Studio環境内の正当で信頼されたエージェントに接続できることを示しました。

接続されると、悪意あるエージェントはユーザーの操作や目に見える監査イベントなしに、信頼されたエージェントのツールや機能を呼び出せます。

標的となるエージェントが、公式の会社ドメインからメールを送信する機能や、機密性の高い社内データを照会する機能などのツールにアクセスできる場合、リスクは深刻になります。

あるシナリオでは、研究者は、侵害されたエージェントまたは内部者が作成したエージェントが、メール送信ツールを密かに起動し、組織自身から発信されたように見える大規模なフィッシングやなりすましキャンペーンを可能にする様子を実証しました。

Connected Agentの呼び出しは、対象エージェントのアクティビティタブにメッセージを生成しないため、標準的な監視および監査の仕組みでは悪用を捉えられません。

これにより攻撃者は、正当なインフラを利用しながら検知を回避して秘匿的に活動できます。

セキュリティの観点では、根本原因は、過剰な信頼と不十分な可視性の組み合わせにあります。

Connected Agentsは暗黙のうちに、環境内のすべてのエージェントが同等に信頼できると仮定しており、権限境界を崩してエージェント間の横方向移動を可能にします。

Zenity Labsは、これは理論上の問題にとどまらないことを確認しています。攻撃経路は実際に成功裏に実証されており、悪用に高度な手法は不要で、基本的なエージェントの作成と設定だけで成立します。

Connected Agentsが既定で有効であり、エージェント間の相互作用の可視性が限られていることから、組織は意図しない露出を減らすために意識的な対策を講じる必要があります。

総合的に、これらの手順は隠れた信頼関係を減らし、可視性を高め、Connected Agentsが機微なシステムへの未監視の経路となることを防ぐのに役立ちます。

Connected Agentsの問題は、AIプラットフォームが進化する中で組織が直面するより広範な課題を浮き彫りにしています。生産性と自動化の機能は、それらを統制するために必要なセキュリティ枠組みよりも速いペースで展開されがちです。

AIエージェントがより自律的かつ相互接続的になるにつれ、わずかな設定ミスであっても、従来の制御や監査メカニズムを回避する間接的なアクセス経路を生み出す可能性があります。

この事案は、エージェントがユーザーや他のシステムに代わって行動することが増えるにつれて、可視性が限られた状況での暗黙の信頼がリスクを増幅させるため、AI特有のガバナンス、継続的な監視、脅威モデリングの必要性を強調しています。

これらのリスクにより、AIの能力が拡大する中で、許容される利用、アクセス制御、セキュリティ上の責任を定義する明確な生成AIポリシーを組織が策定する重要性がますます高まっています。