研究者は、Microsoft Copilotに組み込まれた安全機構を回避してデータを盗み出す手法を発見しました。
Repromptと呼ばれるこの攻撃フローは、Microsoft CopilotがURLパラメータを処理する方法を悪用し、ユーザーの既存のCopilot Personalセッションを乗っ取ります。
Copilotは個人アカウントに接続するAIアシスタントで、Windows、Edgeブラウザ、そしてさまざまなコンシューマー向けアプリケーションに統合されています。
この問題はMicrosoftの1月のPatch Tuesdayアップデートで修正されており、現時点で実際の攻撃(in-the-wild)で悪用された証拠はありません。それでも、現時点でAIアシスタントを信頼することがいかに危険になり得るかを改めて示しています。
Repromptは、一見正当なCopilotのURLのqパラメータに悪意あるプロンプトを隠します。ページが読み込まれると、Copilotがそのプロンプトを自動実行し、フィッシングリンクを1回クリックするだけで、攻撃者が被害者の認証済みセッション内で操作を実行できるようになります。
言い換えると、攻撃者はCopilotリンクのWebアドレス内の、ほとんどのユーザーが決して見ない場所に秘密の指示を隠せます。するとCopilotは、あたかもユーザー自身が入力したかのように、その隠された指示を実行します。
Copilotはq URLパラメータ経由でプロンプトを受け取り自動的に実行するため、フィッシングメールは、正当な見た目のCopilotリンクをクリックするようユーザーを誘導しつつ、攻撃者が制御する指示を稼働中のCopilotセッションへ密かに注入できます。
Repromptが他の類似のプロンプトインジェクション攻撃と異なる点は、ユーザーがプロンプトを入力する必要がなく、プラグインのインストールも不要で、コネクタを有効化している必要もないことです。
Reprompt攻撃の基盤は驚くほど単純です。Copilotは直接的なデータ漏えいを防ぐための保護策を強制していますが、これらの保護は最初のリクエストにのみ適用されます。攻撃者は、Copilotに各アクションを2回繰り返すよう指示するだけで、これらのガードレールを回避できました。
そこから研究者は次のように指摘しています:
「最初のプロンプトが実行されると、攻撃者のサーバーはそれまでの応答に基づいて追加入力の指示を出し、継続的なリクエストの連鎖を形成します。この手法は、ユーザーとクライアント側の監視ツールの双方から真の意図を隠し、検知を極めて困難にします。」
安全を保つ方法
Reprompt攻撃に対しては、2026年1月のPatch Tuesdayアップデートをインストールすることで、特に安全を確保できます。
可能であれば、業務データにはMicrosoft 365 Copilotを使用してください。研究ケースにおけるCopilot Personalでは利用できなかったPurview監査、テナントレベルのデータ損失防止(DLP)、および管理者による制限の恩恵を受けられるためです。DLPルールは、クレジットカード番号、ID番号、健康データなどの機微なデータを検出し、危険な方法(メール、OneDrive、Teams、Power Platformコネクタなど)で送信または保存しようとした際に、ブロック、警告、またはログ記録を行えます。
(信頼できる)発信元に安全性を確認する前に、頼んでもいないリンクをクリックしないでください。
報道によれば、Microsoftは、IT管理者が管理対象デバイスからAI搭載のCopilotデジタルアシスタントをアンインストールできる新しいポリシーをテストしています。
Malwarebytesユーザーは、ツール > プライバシーの下で個人用マシンのCopilotを無効化できます。そこでWindows Copilotを無効化をオン(青)に切り替えられます。
一般に、AIアシスタントの利用には依然としてプライバシーリスクが伴うことを認識してください。URLパラメータ、ページ本文、メタデータ、コメントなど、信頼できない入力をアシスタントが自動的に取り込み、強固な分離やフィルタリングなしに隠れたシステムプロンプトや指示へ統合できる限り、ユーザーは個人情報を漏えいするリスクにさらされます。
したがって、リンク、ブラウザ自動化、または外部コンテンツによって駆動され得るAIアシスタントを使用する際には、「Reprompt型」の問題が少なくとも起こり得ると考え、考慮に入れるのが妥当です。
