Microsoft Copilot Personalに脆弱性 1クリックで機密情報窃取が可能：セキュリティニュースアラート

Microsoft Copilot Personalにおいて、正規URLをクリックするだけで個人情報を窃取する新手法「Reprompt」が見つかった。URL経由で指示を自動実行させ、安全機構を回避して段階的にデータを送信させるという。

[ITmedia エンタープライズ編集部]

　Varonisは2026年1月14日（現地時間）、AIアシスタント機能「Microsoft Copilot Personal」において安全機構を回避し、利用者の個人情報や行動履歴などの機微なデータを外部に送信させる新たな攻撃手法を発見したと発表した。

　攻撃手法は「Reprompt」と名付けられており、正規のMicrosoft公式サイトへのリンクを1回クリックするだけで成立する単純かつ危険な攻撃だという。

ワンクリックで攻撃者が情報窃取　利用者の操作は一切不要

　この攻撃は「Copilot」のチャット画面の操作や追加のプラグイン、コネクターを有効化する必要がない手法だという。利用者がリンクを開いた時点でCopilotの既存セッションが利用され、チャットを閉じた後も攻撃者側の指示に従って処理が継続する構造となっている。そのため利用者が気付かないまま、データの送信が実行される可能性がある。

　Repromptでは正規のドメイン（copilot.microsoft.com）のURLに含まれる「q」パラメーターを使い、プロンプトを自動実行する仕様が悪用される。この仕組み自体は利便性向上のために広く使われているが、URLに埋め込まれた指示文をそのままCopilotが処理してしまう点に着目したという。

　研究では利用者名や居住地、直近の会話内容、アクセスしたファイルの概要など、幅広い情報を段階的に取得できることが確認された。この手法は従来のプロンプトインジェクションや情報漏えい脆弱（ぜいじゃく）性とは異なり、利用者の入力や操作を一切必要としない点で、危険度が高いと評価されている。

　Copilotが備える情報漏えい防止策が、最初のリクエストにのみ適用される挙動を示す点も確認された。攻撃者は同一の処理を2回繰り返すよう指示することで、2回目の通信時に制限を通過させたとしている。加えて、攻撃者が用意したサーバから次の指示を返す「チェーンリクエスト」の方式を組み合わせることで、取得した情報を基に新たな要求を送り続けることが可能となる。このやりとりは利用者側の画面やクライアント監視では把握しにくい。

　Varonisは同様の手法が従来知られていたAI関連の脆弱性とは異なり、利用者がプロンプトを入力しなくても成立する点を問題視している。Microsoftはこの指摘を受け、同日までに該当問題に対処したとしている。この他、「Microsoft 365 Copilot」を使用する企業用環境には影響がないとしている。

　同社は併せて、AI支援機能が個人情報を扱う場面が増えている現状を踏まえ、URLや外部入力を信頼せず検証する設計や、連続した処理全体に安全対策を適用する必要性を示した。利用者にも、出どころ不明なリンクを開かないことや、自動表示されたプロンプト内容を確認することなど、基本的な注意点を挙げている。