セキュリティ企業Varonisの研究者が、Microsoft Copilotで「Reprompt攻撃」と呼ばれる脆弱性を発見しました。この脆弱性により、攻撃者はフィッシングリンクをクリックさせるだけでユーザーの個人データや保存された会話を窃取できる状態でした。Microsoftは2026年1月13日にこの脆弱性を修正しています。
Reprompt攻撃は間接的プロンプトインジェクション(Indirect Prompt Injection)の一種で、複数の手法を組み合わせています。「Parameter-to-Prompt(P2P)インジェクション」では、URLの「q」パラメータを使用してCopilotに直接指示を注入します。さらに「ダブルリクエストテクニック」を利用し、Copilotのデータ漏洩防止機能が最初のリクエストにのみ適用される点を悪用。Copilotに同じ動作を2回繰り返すよう指示することで、2回目のリクエストで防御をバイパスできました。
攻撃の流れは単純です。ユーザーがフィッシングリンクをクリックすると、「q」パラメータを通じて多段階のプロンプトが注入され、攻撃者はCopilotを通じてユーザーの情報を取得し、自身のサーバーに送信できました。Varonisによると、この脆弱性はCopilot Personal(個人向け)のみに影響し、Microsoft 365 Copilot(企業向け)はPurview監査やテナントレベルのDLPなどの追加セキュリティ対策により保護されていました。
Hacker Newsではエージェント型AIの攻撃対象面の拡大への懸念が示されており、企業の34.7%しかAI専用の防御を導入していないという調査結果が話題となっています。X上では「LLMがデータと指示を根本的に区別できない」という問題の指摘が見られます。AI機能の普及に伴い、プロンプトインジェクション対策は今後ますます重要になると考えられます。