2026年6月、Microsoft 365 Copilotで「SearchLeak」と呼ばれる脆弱性が公開されました。
この脆弱性は、セキュリティ企業のVaronis Threat Labsが発見・命名したもので、CVE-2026-42824として管理されています。
攻撃者が細工したリンクをクリックさせるだけで、メール、カレンダー、SharePointファイル、OneDriveファイル、さらにはMFAコードまで盗まれる可能性があったという、AIエージェント時代を象徴する事例です。
Microsoftはこの脆弱性を修正済みとしていますが、今回の件は単なるMicrosoft 365 Copilotの不具合ではありません。
AIエージェントにどこまで権限を与えるのか。
AIに何を読ませ、何を実行させるのか。
この設計を間違えると、AIが便利な業務支援ツールではなく、新しい情報漏えい経路になってしまう可能性があります。
この記事では、
- Copilot脆弱性から何を学ぶべきか
- OWASP Agentic AI Top10がなぜ必要なのか
- Least Agency(最小エージェンシー)とは何か
- ひとり情シス・総務担当者がどこを確認すべきか
を、できるだけ実務目線で解説します。
Copilotで何が起きたのか
今回問題となったのは、Microsoft 365 Copilot Enterprise Searchに存在した脆弱性です。
Varonis Threat Labsは、この攻撃手法を「SearchLeak」と名付けました。
攻撃の起点は、一見すると普通のMicrosoft関連リンクです。
しかし、そのURLの検索パラメータに、AI向けの悪意ある命令が埋め込まれていました。
利用者がそのリンクをクリックすると、CopilotがURL内の命令を解釈し、メールボックスや組織内コンテンツを検索します。
その結果、攻撃者は次のような情報を取得できる可能性がありました。
- Outlookメール
- カレンダー情報
- SharePointファイル
- OneDriveファイル
- MFAコード
- 会議情報
- 組織内の検索可能なファイル
ポイントは、被害者から見ると普通のリンクを開いただけに見えることです。
つまり、利用者がファイルをアップロードしたり、怪しいアプリをインストールしたりしなくても、Copilotが持つ検索権限を悪用される可能性があったということです。
技術的には、URLパラメータを使ったプロンプトインジェクションや、システムの隙を突いた高度なサイバー攻撃を組み合わせたものでした。
SSRFとは、本来アクセスできないはずの内部リソースへ、サーバー側からアクセスさせる攻撃です。
CSPバイパスとは、ブラウザ側で外部送信を制限する仕組みをすり抜ける攻撃です。
専門的な仕組みは複雑ですが、ここで本当に重要なポイントは一つです。
Copilot自体に悪意があったのではなく、Copilotに与えられていた権限が強力だった
ということです。
Microsoft 365 Copilotは、Microsoft Graphを通じて、
- メール
- ファイル
- Teams
- SharePoint
- OneDrive
- カレンダー
などを横断的に参照できます。
これは業務効率化の面では非常に便利です。
しかし裏を返せば、
AIに見せた情報は、AI経由で漏れる可能性がある
ということでもあります。
今回のSearchLeakは、そのリスクが現実のものとして示された事例だと考えられます。
なぜ従来のセキュリティ対策では不十分なのか
従来のセキュリティ対策では、
- ウイルス対策ソフト
- ファイアウォール
- メールフィルタ
- MFA
- アクセス権限管理
が中心でした。
もちろん、これらは今でも重要です。
しかし、AIエージェントには従来のシステムとは違う特徴があります。
AIエージェントは、
- 自分で判断する
- 外部データを読む
- ツールを使う
- 目的達成のために複数の手順を実行する
- 過去の会話や設定を記憶する
という性質を持っています。
つまり、AIエージェントは単なるチャットボットではありません。
権限を持って動く「デジタル社員」のような存在です。
従来のWebアプリであれば、
Aというボタンを押したらBという処理をする
というように、動作はある程度固定されていました。
一方、AIエージェントは、
目的を達成するために、状況に応じて自分で手順を考える
という動きをします。
そのため、従来の「システムを守る」発想に加えて、
AIにどこまで判断させ、どこまで実行させるか
という新しい設計が必要になります。
このような背景から、OWASPは従来のWebアプリ向けTop10とは別に、
OWASP Top 10 for Agentic Applications 2026
を公開しました。
OWASPが警告するAgentic AIのリスク
OWASP Agentic AI Top10では、AIエージェント特有のリスクが整理されています。
そもそもOWASPとは何か
OWASPとは、WebアプリケーションやAIシステムのセキュリティリスクを整理し、開発者や情シス担当者向けに公開している非営利団体です。
特に有名なのが「OWASP Top 10」です。
これは、Webアプリやシステムで注意すべき代表的なセキュリティリスクを10項目にまとめたもので、セキュリティ担当者だけでなく、開発者やIT管理者にも広く参照されています。
今回の記事で取り上げる「OWASP Top 10 for Agentic Applications 2026」は、従来のWebアプリではなく、AIエージェントのように自分で判断し、ツールを使い、複数ステップで行動するシステム向けに整理されたリスク一覧です。
つまり、OWASP Agentic AI Top10は、AIエージェント時代の「注意すべき危険ポイント一覧」と考えると分かりやすいです。
なぜAIエージェント専用のTop10が必要なのか
従来のWebアプリでは、ログイン画面、入力フォーム、データベース、セッション管理などが主な確認ポイントでした。
しかしAIエージェントは、そこに加えて次のような特徴があります。
- ユーザーの代わりに判断する
- 外部データを読みに行く
- メール送信やファイル操作などのツールを使う
- 過去の会話やメモリを参照する
- 目的達成のために複数ステップで行動する
そのため、従来のWebアプリ向けTop10だけでは、AIエージェント特有のリスクを説明しきれません。
そこで、OWASP Top 10 for Agentic Applications 2026のような、AIエージェント向けの整理が必要になります。
特に実務上注意したいのは、次のような項目です。
| OWASPのリスク | 概要 |
|---|---|
| Agent Goal Hijack | AIの本来の目的が、外部の命令で乗っ取られる |
| Tool Misuse & Exploitation | AIが連携しているツールが悪用される |
| Agent Identity & Privilege Abuse | AIに与えられたIDや権限が悪用される |
| Unexpected Code Execution | AIが想定外のコードを実行してしまう |
| Memory & Context Poisoning | AIの記憶や前提知識が、嘘の情報で汚染される |
今回のCopilot脆弱性は、特に次のリスクと関係が深いと考えられます。
- Tool Misuse & Exploitation
- Agent Identity & Privilege Abuse
- Agent Goal Hijack
CopilotがメールやSharePointを横断検索できること自体は、本来は業務効率化のための機能です。
しかし、その強力な検索機能や参照権限が悪用されると、AIが攻撃者のために社内情報を探してしまう可能性があります。
これが、AIエージェント時代の怖いところです。
Goal Hijackとは何か
Goal Hijackとは、AIエージェントに与えた本来の目的が、別の目的にすり替えられてしまうリスクです。
たとえば、ユーザーはAIに対して、
競合他社の価格を調べて、表にまとめてください。
と依頼したとします。
しかし、AIが参照したWebページやファイルの中に、AI向けの悪意ある命令が埋め込まれていると、AIがその命令を信じてしまう可能性があります。
結果として、本来の「価格を調べる」という目的から外れ、
社内ファイルを検索して外部へ送信する
といった別の目的に誘導される危険があります。
従来のセキュリティ対策では、主に人間が騙されることを想定していました。
しかしAIエージェントの時代には、
AIが騙されること
も考えなければいけません。
これは、ひとり情シスにとって非常に重要な視点です。
Tool Misuseとは何か
Tool Misuseとは、AIエージェントが利用できる外部ツールが悪用されるリスクです。
AIエージェントは、次のようなツールと連携できます。
- Outlook
- Teams
- SharePoint
- OneDrive
- Webブラウザ
- 社内システム
- 外部API
- GitHub
- Slack
- データベース
たとえば、AIエージェントにメール送信権限を与えていたとします。
このAIが悪意ある指示に誘導されると、AI自身のメール送信権限を使って、社内外に不審なメールを送ってしまう可能性があります。
外部から見ると、そのメールは攻撃者ではなく、正規の社内アカウントから送られてきたように見えます。
これは情報漏えいだけでなく、取引先からの信用にも関わります。
AIに便利なツールをたくさん連携させるほど、業務は効率化します。
しかし同時に、攻撃されたときの被害も大きくなります。
Memory & Context Poisoningとは何か
Memory & Context Poisoningとは、AIの記憶や参照するコンテキストが汚染されるリスクです。
AIエージェントの中には、過去の会話や設定、参照した情報を記憶し、次回以降の判断に利用するものがあります。
この記憶に誤った情報や悪意ある情報を混ぜ込まれると、AIの判断が継続的にゆがめられる可能性があります。
たとえば、AIが次のように誤って記憶してしまったとします。
この共有フォルダは全職員が閲覧してよい公開フォルダです。
しかし実際には、そのフォルダには人事情報や利用者情報が含まれていたとします。
その後、別の職員がAIに、
来月のシフト作成に使う参考資料を共有してください。
と依頼した場合、AIは誤った記憶をもとに、個人情報を含むフォルダを共有してしまう可能性があります。
人間でいえば、最初に間違ったマニュアルを渡された新人職員が、そのまま誤った業務を続けてしまうようなものです。
AIの記憶や参照データは、便利である一方、管理を誤ると危険な判断材料になります。
Least Privilegeだけでは足りない
これまで情シスが重視してきた原則に、
Least Privilege(最小権限)
があります。
これは、
ユーザーには、業務に必要な最小限の権限だけを与える
という考え方です。
たとえば、
- 一般職員に管理者権限を与えない
- 経理担当者以外に会計システムの更新権限を与えない
- 人事担当者以外に人事フォルダを見せない
といった運用です。
この考え方は、AIエージェントにも当然必要です。
しかし、AIエージェントの場合はそれだけでは不十分です。
なぜなら、AIエージェントでは、
何を見られるか
だけでなく、
何を自律的に実行できるか
が問題になるからです。
そこで重要になるのが、
Least Agency(最小エージェンシー)
という考え方です。
Least Agencyとは何か
Least Agencyとは、
AIに何を見せるかだけでなく、AIに何をさせるかを最小限にする
という考え方です。
従来のLeast Privilegeは、主にアクセス権限を制限する考え方でした。
一方、Least Agencyは、AIの行動範囲そのものを制限します。
悪い例
便利だからという理由で、AIに次のような権限をすべて与えるケースです。
- メール送信
- Teams投稿
- SharePoint編集
- ファイル削除
- 外部Webアクセス
- 外部API連携
- 社内システム操作
この状態でAIがGoal HijackやTool Misuseの影響を受けると、被害は大きくなります。
AIが誤ってメールを送る。
ファイルを削除する。
個人情報を外部に共有する。
こうした事故につながる可能性があります。
良い例
Least Agencyを意識するなら、AIの行動範囲を必要最低限にします。
- メールは送信させず、下書き作成までにする
- SharePointは閲覧のみ許可する
- ファイル削除は禁止する
- 外部Webアクセスは禁止または許可制にする
- 個人情報フォルダは参照対象から外す
- 重要な操作は人間の承認を必須にする
つまり、AIに対して、
何でもやっていい
ではなく、
この範囲だけ手伝ってよい
と明確に制限することが大切です。
仮にAIが騙されたとしても、下書きしか作れなければ被害は限定的です。
しかし送信権限まで持っていると、AI自身が情報漏えいの実行者になってしまいます。
こう運用する:4つのルール
中小企業や小規模の社会福祉法人では、大企業のように専門部署や高度な監視システムを用意するのは簡単ではありません。
そのため、現実的には、
最初から危ない操作をさせない設計
が重要になります。
私なら、まず次の4つのルールから始めます。
① メール送信権限は与えない
送信は必ず人間が行います。
AIにはメール本文の作成や下書き作成までを任せます。
実際の送信は、人間が内容を確認してから行うルールにします。
これは少し手間に感じるかもしれません。
しかし、誤送信やなりすましメールの拡散を防ぐうえでは重要です。
② 個人情報フォルダは参照させない
社会福祉法人や医療・介護・教育に近い現場では、利用者情報、職員情報、家族情報など、慎重に扱うべき情報が多くあります。
AIに読ませるフォルダは、公開されても大きな問題にならない社内規程やマニュアル類に限定するのが安全です。
AI用に専用フォルダを作り、そこに読ませてもよい資料だけを置く運用が現実的です。
③ AIのログを保存する
AIがどのファイルにアクセスしたのか。
どのツールを使ったのか。
誰の指示で動いたのか。
これらを後から確認できるようにしておくことも重要です。
Microsoft 365を使っている場合は、監査ログ、サインインログ、SharePointのアクセス履歴などを確認できる状態にしておくと、事故発生時の調査に役立ちます。
④ AIを「新人職員」として扱う
AIは便利ですが、最初から管理者権限を与えるべきではありません。
新人職員にいきなり全システムの管理者権限を渡さないのと同じです。
AIも最初は、
- 閲覧のみ
- 下書きのみ
- 社内マニュアル検索のみ
- 人間の承認必須
という範囲から始めるべきです。
実績を見ながら、必要に応じて少しずつ権限を広げる方が安全です。
AIエージェント導入前に確認したい設定画面一覧
AIエージェントを導入する際は、権限や参照範囲を確認することが重要です。
サービスごとに画面名は変わりますが、見るべきポイントは共通しています。
※画面名やメニュー名は、契約プラン、言語設定、管理画面の更新により変わる場合があります。実際の導入時は、各サービスの最新画面と公式ドキュメントで確認してください。
| 対象エージェント | 確認する場所 | 見るべきポイント |
|---|---|---|
| Microsoft Copilot Studio | 対象エージェント → 設定 → セキュリティ → 認証 | 匿名利用になっていないか。Microsoft Entra ID認証になっているか。 |
| Microsoft Copilot Studio | 対象エージェント → ナレッジ | SharePoint、Webサイト、Dataverseなど、AIが読める情報源が広すぎないか。 |
| Microsoft Copilot Studio | 対象エージェント → アクション | メール送信、ファイル更新、外部API連携など、危険な操作が許可されていないか。 |
| Microsoft 365 Copilot | Microsoft 365 管理センター → Copilot → 設定 → データ アクセス → エージェント | 組織内で、誰がエージェントを利用・追加できるか。どの種類のエージェントを許可しているか。 |
| Microsoft 365 Copilot | Microsoft 365 管理センター → 設定 → 統合アプリ | Copilotアプリに表示されるエージェントを展開・ブロックできるか。許可していない連携アプリがないか。 |
| ChatGPT カスタムGPT | GPT一覧 → 対象GPT → 編集 | 指示、知識、機能、アクション、アプリを確認する。 |
| ChatGPT カスタムGPT | ワークスペース設定 → アプリ / アクション関連設定 | 外部アプリ連携やアクションの許可範囲が広すぎないか。読み取り専用にできるか。 |
| Claude Code | /config、~/.claude.json、.claude/settings.local.json、.mcp.json | ファイル操作、許可ツール、信頼設定、MCP連携が広すぎないか。 |
| OpenAI Codex CLI / Codex app | 権限セレクター、/permissions、~/.codex/config.toml、.codex/config.toml | サンドボックス、承認ポリシー、ファイル変更、コマンド実行、MCP連携が自動実行寄りになっていないか。 |
| Google Gemini / Gems | Geminiウェブアプリ → Gems | Gemの指示内容、共有範囲、添付・参照ファイルが適切か。 |
| Google Gemini / Gemini Apps | Google管理コンソール → Geminiアプリ関連設定 | GeminiからGoogle Workspaceアプリへアクセスできる設定になっていないか。Gmail、Drive、Docs、Calendarなどへのアクセス範囲が広すぎないか。 |
| 共通 | 監査ログ、サインインログ、アクセス履歴 | AIが、いつ・誰の権限で・何にアクセスしたか追跡できるか。 |
確認すべきポイントは、次の4つです。
- AIは何を読めるか
- AIは何を実行できるか
- AIは誰の権限で動くか
- AIのログを確認できるか
画面名やメニュー名はサービスの更新で変わることがあります。
ただし、確認すべき考え方は変わりません。
AIエージェントを導入する前に、まずこの4点を確認しましょう。
AIエージェントを禁止するのではなく、安全に使う
ここまで読むと、
AIエージェントは危ないから使わない方がよいのでは?
と思う方もいるかもしれません。
しかし、私は一律禁止が正解だとは思っていません。
AIエージェントは、使い方を間違えると危険です。
一方で、うまく使えば人手不足の現場を助ける強力な道具になります。
大切なのは、いきなり全社展開しないことです。
まずは、
- 社内マニュアル検索
- 規程の確認
- メール文面の下書き
- FAQ作成
- 議事録の整理
- Excel集計の補助
といった、比較的リスクの低い業務から始めるのがよいと思います。
そのうえで、慣れてきたら少しずつ連携範囲を広げます。
AIにいきなりメール送信やファイル削除まで任せるのではなく、まずは「読む」「整理する」「下書きする」程度に留める。
この段階的な導入が、中小企業や小規模の社会福祉法人には向いています。
よくある質問
Q. SearchLeakはすでに修正済みですか?
はい。MicrosoftはCVE-2026-42824としてこの脆弱性を管理し、修正済みとしています。
ただし、今回の脆弱性が修正済みであっても、AIエージェントに過剰な権限を与えるリスク自体がなくなったわけではありません。
CopilotやAIエージェントを利用している場合は、参照できるデータや連携アプリの権限を確認しておくことをおすすめします。
Q. Copilotを使っていなければ関係ありませんか?
今回のSearchLeakはMicrosoft 365 Copilot Enterprise Searchに関する事例です。
そのため、Copilotを利用していない組織では、今回の脆弱性そのものの影響は限定的です。
ただし、AIエージェント全般に共通するリスクとして、
- AIが外部情報に騙される
- AIがツール権限を悪用される
- AIが過剰な権限を持つ
- AIが誤った記憶をもとに判断する
といった問題は存在します。
ChatGPTのカスタムGPT、Claude Code、Codex、Gemini Gemsなどを業務利用する場合も、同じ考え方で確認が必要です。
Q. Least AgencyとLeast Privilegeは何が違うのですか?
Least Privilegeは、
誰がどのファイルやシステムにアクセスできるか
を制限する考え方です。
一方、Least Agencyは、
AIが何を自律的に実行できるか
を制限する考え方です。
たとえば、AIがSharePointを閲覧できるとしても、編集や削除まで許可する必要があるとは限りません。
メールも同じです。
AIにメール本文を作らせることは便利ですが、送信まで自動で許可するかどうかは別問題です。
AIエージェント時代には、権限だけでなく、行動範囲そのものを設計する必要があります。
Q. ひとり情シスが最初に確認すべきことは何ですか?
まずは、次の4点を確認するのがおすすめです。
- AIが参照できるフォルダ
- AIが連携しているアプリ
- AIが実行できる操作
- AIの操作ログを確認できるか
特に重要なのは、
メール送信、外部共有、ファイル削除ができる設定になっていないか
です。
ここを確認するだけでも、AIエージェントのリスクをかなり減らせます。
まとめ
今回のCopilot脆弱性は、単なるMicrosoftの不具合ではありません。
AIエージェント時代の本質的な課題を示しています。
ポイントは次の4つです。
- AIに見せた情報はAI経由で漏れる可能性がある
- OWASPはAgentic AI専用Top10を公開している
- AIにはGoal HijackやTool Misuseなど新しい脅威がある
- 対策の中心はLeast Agency(最小エージェンシー)
AIエージェントは便利なデジタル社員です。
しかし、権限を与えすぎれば、新しい内部脅威にもなります。
これからの情シスに必要なのは、
「AIを導入すること」ではなく、「AIにどこまで任せるかを設計すること」
なのかもしれません。
まず、今日からできるアクションは一つだけです。
自社で使っているAIツールの設定画面を一度開き、次の2つの問いをチェックしてみてください。
- このAIは、何を読める状態になっているか?
- このAIは、人間の承認なしで何を実行できるか?
安全な境界線、つまりLeast Agencyを引くことこそが、これからの情シス・総務担当者の新しい役割になります。
参考情報・引用元
この記事は、以下の公開情報を参考にしました。
- Varonis「SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon」
- NVD「CVE-2026-42824」
- Microsoft Security Response Center「CVE-2026-42824」
- OWASP GenAI Security Project「OWASP Top 10 for Agentic Applications for 2026」
- OWASP GenAI Security Project「OWASP Top 10 for Agentic Applications」
- Microsoft Learn「Configure user authentication in Copilot Studio」
- Microsoft Learn「Knowledge sources summary – Microsoft Copilot Studio」
- OpenAI Developers「Configuration Reference – Codex」
- OpenAI Help Center「Creating and editing GPTs」
- Anthropic / Claude Code Docs「Claude Code の設定」
- Google Workspace Help「Turn Gem sharing on or off」
- Google Workspace Updates Blog「Pre-configure the Google Workspace apps admin setting for the Gemini app」
