セキュリティ企業Varonisが、Microsoft Copilot Personalに存在していた深刻な脆弱性「Reprompt」攻撃の詳細を公開しました。攻撃者は正規のCopilotリンクを装ったフィッシングメールを送るだけで、ユーザーが1回クリックするだけでセッションを乗っ取り、継続的にデータを窃取できる状態にありました。Microsoftは2026年1月13日のPatch Tuesdayで修正済みです。
この脆弱性の特徴は、従来のプロンプトインジェクション攻撃とは異なり、ユーザーによるプロンプト入力、プラグインのインストール、コネクタの有効化が一切不要な点です。Varonisの分析によると、攻撃はURLの「q」パラメータを悪用し、パラメータ・トゥ・プロンプト(P2P)インジェクションと呼ばれる技術を使用します。さらに巧妙なのは、ダブルリクエスト技術を用いている点です。Copilotのデータ漏洩防止機能は最初のリクエストにのみ適用されるため、Copilotに同じアクションを2回実行させる命令を注入することで、2回目以降のリクエストではセキュリティ対策を回避できてしまいました。
攻撃が開始されると、被害者の認証済みCopilotセッションを利用してCopilotと攻撃者のサーバー間で継続的な通信が行われ、Copilotのタブを閉じた後もセッションは有効なまま維持されます。X上では「Microsoftは期待される動作の限界と扱うが、研究者は明確なセキュリティリスクと認識している」と、定義の乖離を指摘する声が上がっています。Hacker Newsでも「プロンプトインジェクションはフィッシングと同様、完全に解決されることはない」というOpenAIの見解を引用した議論が行われています。
Varonisは、今回の脆弱性がCopilot Personalのみに影響し、エンタープライズ顧客向けのMicrosoft 365 Copilotには影響しないことを明確にしています。エンタープライズ版はPurview監査、テナントレベルDLP、管理者による制限など追加のセキュリティコントロールで保護されています。AIアシスタントの普及に伴い、このような新しい攻撃ベクトルへの対策が急務となっています。