セキュリティ研究者らが、Microsoft Copilotから機密データを1クリックで窃取できる新しい攻撃手法「Reprompt」を公開しました。エンタープライズセキュリティコントロールを完全にバイパス可能な本脆弱性は、エージェントAI統合のリスクを浮き彫りにしています。
Reprompt攻撃は、3つの技術を組み合わせた巧妙な手法です。まず「Parameter-to-Prompt(P2P)インジェクション」が、'q'パラメータを利用してCopilotに命令を直接注入します。次に「ダブルリクエスト技術」が、Copilotのデータ漏洩対策が最初のリクエストにのみ適用される点を悪用。そして「チェーンリクエスト技術」により、Copilotが攻撃者のサーバーから動的に命令を受け取り続け、各応答を次のリクエスト生成に使用することで、継続的かつステルス的なデータ窃取を実現します。
Hacker Newsでは「エンタープライズAI統合のセキュリティリスクを浮き彫りにした。間接プロンプトインジェクションの脅威が現実化」との声が上がっています。攻撃の特徴として、正規のMicrosoftリンクを1クリックするだけで被害者が危険にさらされ、プラグインもCopilotとのユーザー操作も不要です。すべてのコマンドは初期プロンプト後にサーバーから配信されるため、最初のプロンプトを検査しても何のデータが窃取されているか判別できず、クライアントサイドのツールでもデータ流出を検知できません。
本脆弱性は2025年8月にMicrosoftに報告され、2026年1月13日時点で修正済みとなっています。なお、Microsoft 365 Copilotを使用するエンタープライズ顧客は本攻撃の影響を受けません。
| - [Researchers Reveal Reprompt Attack | The Hacker News](https://thehackernews.com/2026/01/researchers-reveal-reprompt-attack.html) |
|---|---|
| - [Reprompt: The Single-Click Attack | Varonis](https://www.varonis.com/blog/reprompt) |
| - [Reprompt Attack Details | Windows Central](https://www.windowscentral.com/artificial-intelligence/microsoft-copilot/copilot-ai-reprompt-exploit-detailed-2026) |
| - [Reprompt Attack Data Exfiltration | Malwarebytes](https://www.malwarebytes.com/blog/news/2026/01/reprompt-attack-lets-attackers-steal-data-from-microsoft-copilot) |