新たに公開されたRepromptと呼ばれる攻撃手法は、たった1回のクリックだけで、プラグインも追加権限も不要、ユーザーとのやり取りも一切なしに、Microsoft Copilotを静かに個人データを吸い上げる仕組みに変えられた可能性を示しています。
この手法により脅威アクターは「…企業のセキュリティ制御を完全に回避し、検知されることなく機密データにアクセスできる――しかもワンクリックだけで」と、Varonisの研究者は述べています。
Repromptがサイレントな流出を可能にする仕組み
Repromptが際立つのは、AIを狙った攻撃に付きものの摩擦を取り払っている点です。
手の込んだプロンプトエンジニアリングや悪意あるプラグイン、あるいはユーザーに指示文をアシスタントへコピー&ペーストさせるよう説得する必要はありません。
代わりに、被害者の既存セッションのコンテキスト内で動作する正規のMicrosoft Copilotリンクを1回クリックするだけで、全体の流れが始まり得ます。
いったんトリガーされると、Copilotは実質的にユーザーの代わりに指示を実行し、アシスタント自体が攻撃の手段となります。
そこから攻撃者は、最近アクセスしたファイルの要約、位置情報に関連する情報、今後の旅行予定など、極めて機微な個人情報をCopilotに表示させられる可能性があります。
また研究者は、攻撃がチャットを開いたままであることに依存せず、チャットウィンドウを閉じた後でも挙動が持続し得ることを確認しました。これは、攻撃がチャットの継続ではなくセッションレベルのコンテキストを悪用していたためです。
言い換えると、やり取りは一見無害に見えるものの、基盤となるワークフローはバックグラウンドで静かに継続し得ました。
Varonisは、Repromptが他の多くのAIセキュリティ問題と異なる点として、最初のクリック以外にユーザー操作を必要とせず、インストール済みの統合機能や有効化されたコネクタにも依存しないことを挙げています。
その結果、運用に移しやすい一方で検知は難しくなります。というのも、不審なプロンプト、明らかなコピー&ペースト、追加権限といった従来の警戒サインが、そもそも現れない可能性があるためです。
Repromptを支える手法
技術的には、Repromptはステルスなデータ流出を実現するために、次の3つの手法を連鎖させていました:
- Parameter-to-Prompt(P2P)インジェクション
- ダブルリクエストによる回避
- 継続的な抽出を可能にするチェーンリクエスト機構
まず攻撃は、Copilotのq URLパラメータを悪用しました。これはAIプラットフォーム全般に見られる一般的な機能で、リンクによってプロンプトを自動的に事前入力できるものです。
Copilotの場合、攻撃者はURL内に指示を直接埋め込めるため、ページ読み込みと同時にプロンプトが実行され――リンクのクリックがそのままプロンプト送信に変わる形になります。
次にRepromptは、組み込みの安全策を回避するためにダブルリクエスト手法を用いました。Copilotには、疑わしいWebリクエストを拒否したり、返却前に機微データをサニタイズしたりするなど、漏えいを減らすための制御があります。
しかしVaronisは、これらの保護が最初の試行で最も強く働いているように見えたと観測しています。
Copilotに同じ操作を2回繰り返し、「最良」の結果を保持するよう指示することで、最初のリクエストがブロックまたはフィルタリングされても、2回目が成功する場合がありました。
最後に、チェーンリクエスト手法によって攻撃は動的な多段階ワークフローへと変換されました。
最初のステップが実行された後、Copilotは攻撃者が管理するサーバーから追加の指示を取得するよう促され得ます。
新たな指示は、Copilotがすでに明らかにした内容に基づいて調整できるため、攻撃者は初期リンクやクライアント側の検査から真の意図を隠したまま、段階的に情報を静かに収集できます。
Microsoftは、この問題が2026年1月14日時点で修正済みであることを確認しており、VaronisはMicrosoft 365 Copilotを使用するエンタープライズ顧客は影響を受けなかったと報告しています。
AIによるデータ流出リスクを低減する
Repromptは、AIアシスタントが、従来のフィッシングやマルウェアのようには見えない新たなリスクを持ち込むことを思い起こさせます。
ベンダーがパッチを提供した後であっても、組織は、ワンクリックで予期しないデータアクセスや静かな流出が起きる可能性を下げるために、多層的な制御を依然として必要とします。
- AIのディープリンクや自動入力プロンプトを信頼できない入力として扱い、繰り返しおよび連鎖リクエスト全体にわたって安全策が適用されるようにする。
- 強力なアイデンティティおよびセッション保護を強制し、MFA、条件付きアクセス、短いセッションタイムアウトを含める。
- デバイス準拠、位置情報制御、リスクベースのサインインポリシーを用いて、Copilotへのアクセスを管理対象デバイスと信頼できるネットワークに制限する。
- 最小権限の権限、機密ラベル、DLPポリシーをMicrosoft 365コンテンツ全体に適用して、データ露出を減らす。
- URLスキャン、ドメインフィルタリング、不審なAIリンクに対するユーザー警告により、Web、メール、チャットのリンク防御を強化する。
- 監視により異常なCopilot活動を検知し、ログ記録、アラート、トークン失効のプレイブックを用いてインシデント対応の準備状況を検証する。
これらの手順を総合的に実施することで、AI駆動の攻撃による被害範囲(ブラスト半径)を縮小し、全体的なレジリエンスを強化できます。
信頼されたAIアクセスのリスク
Repromptは、利便性機能が信頼されたアクセスや永続的セッションと交差することで、AIアシスタントが高価値の標的になり得ることを示す例です。
Microsoftのパッチはこの特定のギャップを塞ぎますが、より広い教訓は残ります。組織はAIツールを他の特権システムと同様に扱い、強力なアイデンティティ制御、厳格なデータガバナンス、そして悪用を早期に発見するための継続的な監視を備えるべきです。
AIが日々のワークフローにより深く組み込まれていくにつれ、暗黙の信頼を減らし、防御の多層化(Defense-in-Depth)を強化することが、ワンクリック攻撃が静かなデータ露出へとつながるのを防ぐうえで不可欠になります。
より強固な検証の必要性が、組織がAIツールの機密データへのアクセス方法を見直す中で、ゼロトラストの採用を後押ししています。
