研究者らは「Reprompt」と名付けられた攻撃手法を特定しました。これにより攻撃者はユーザーのMicrosoft Copilotセッションに侵入し、機密データを流出させるためのコマンドを実行できる可能性があります。
正規のURL内に悪意のあるプロンプトを隠し、Copilotの保護機能を回避することで、ハッカーはユーザーが1つのリンクをクリックした後も被害者のLLMセッションへのアクセスを維持できる可能性があります。
Repromptはワンクリックの操作以外に、プラグインやその他の手口を必要とせず、目に見えない形でのデータ流出を可能にします。
Copilotは個人アカウントに接続してAIアシスタントとして動作し、WindowsやEdgeブラウザー、さらに各種コンシューマー向けアプリケーションに統合されています。
そのため、状況や権限に応じて、ユーザーが入力したプロンプト、会話履歴、そして一部の個人用Microsoftデータにアクセスし、それらを基に推論できます。
Repromptの仕組み
データセキュリティおよび分析企業Varonisのセキュリティ研究者は、3つの手法を組み合わせることでユーザーのCopilotセッションへのアクセスが可能になることを発見しました。
彼らは、CopilotがURLの「q」パラメーター経由でプロンプトを受け取り、ページ読み込み時に自動的に実行することを突き止めました。攻撃者がこのパラメーターに悪意のある指示を埋め込み、そのURLを標的ユーザーに届けられれば、ユーザーに気付かれないまま、Copilotにユーザーの代わりに操作を実行させることが可能になります。
しかし、Copilotの安全対策を回避し、攻撃者からの追加入力によって継続的にデータを流出させるには、さらに別の手法が必要です。
BleepingComputerと共有されたレポートでVaronisは、Reprompt攻撃の流れとして、正規のCopilotリンクを用いたフィッシングで被害者を誘導し、Copilotに注入されたプロンプトを実行させ、その後Copilotと攻撃者サーバーの間で継続的な双方向のやり取りを維持する、と説明しています。
標的ユーザーがフィッシングリンクを最初にクリックした後、Repromptは被害者の既存の認証済みCopilotセッションを悪用します。このセッションはCopilotのタブを閉じた後も有効なままです。
出典: Varonis
Varonisの研究者は、以下の攻撃手法を組み合わせることでRepromptを開発できました:
- Parameter-to-Prompt(P2P)インジェクション:URLの「q」パラメーターを使って指示をCopilotに直接注入し、ユーザーデータや保存された会話を盗み取る可能性があります。
- ダブルリクエスト手法:Copilotのデータ漏えい防止策が初回リクエストにのみ適用される点を悪用します。Copilotに同じ操作を2回繰り返すよう指示することで、2回目以降のリクエストで防止策を回避できます。
- チェーンリクエスト手法:Copilotが攻撃者サーバーから動的に指示を受け取り続けます。各応答が次のリクエスト生成に利用され、継続的かつ秘匿性の高いデータ流出が可能になります。
出典: Varonis
研究者らは、Copilotへの指示が攻撃者サーバーからの初回プロンプトの後に配信されるため、クライアント側のセキュリティツールでは、どのデータが流出しているのか推測できないと述べています。
「すべてのコマンドは初回プロンプトの後にサーバーから配信されるため、開始プロンプトを調べるだけでは、どのデータが流出しているのか判断できません。本当の指示は、サーバーからの後続リクエストに隠されています。」– Varonis
研究者らは昨年8月31日にRepromptをMicrosoftへ責任ある形で開示し、この問題は昨日、2026年1月のPatch Tuesdayで修正されました。
Reprompt手法の悪用は実環境では確認されておらず、問題も対処済みですが、最新のWindowsセキュリティ更新プログラムをできるだけ早く適用することが強く推奨されます。
Varonisは、Repromptの影響はCopilot Personalのみに及び、企業顧客向けに提供され、追加のセキュリティ制御(Purview監査、テナントレベルのDLP、管理者による強制的な制限など)でより強固に保護されているMicrosoft 365 Copilotには影響しなかったと明確にしました。
