Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks
2026/03/12 CyberSecurityNews — AI アシスタントにより、日常の業務が急速に変革されている。それにより、大量のメール・インボックス管理/クライアント・コミュニケーション/インシデント・レスポンスを担当するチームの作業が効率化されている。Microsoft Copilot のようなツールが、日常のワークフローに直接統合され、Microsoft 365 エコシステム全体からコンテキストを取得しながら、メールやミーティングの内容を要約する。しかし、多くの組織が防御準備を整えていないため、この利便性による新たなセキュリティ境界の問題が生じている。
Microsoft 365 Copilot のメール要約機能に存在する、深刻な Cross-Prompt Injection Attack (XPIA) の脆弱性 CVE-2026-26133 を、Permiso Security の研究者たちが公開した。
この脆弱性を悪用する攻撃者は、自身で制御するテキストを通常のメール内に埋め込むことで、Copilot の出力を乗っ取ることが可能となる。つまり、従来型の添付ファイル/マクロ/エクスプロイト・コードに依存することなく、このアシスタントに信頼されるサマリー・インターフェイス内で、説得力のあるフィッシング・コンテンツを生成できる。
この問題を 2026年01月28日の時点で確認した Microsoft は、2026年02月17日に緩和策の展開を開始した。その結果として2026年03月11日には、すべての影響を受けるサーフェスへのパッチ適用を完了し、2026年03月12日に CVE を公開した。この脆弱性は、Permiso Security の Andi Ahmeti により発見されたものだ。
Microsoft Copilot のメール要約における脆弱性
この攻撃は、Cross-Prompt Injection Attack (XPIA) と呼ばれる AI セキュリティの問題を悪用する。信頼できないコンテンツを LLM が処理する際に、埋め込まれたテキストを実行可能な命令として扱う状態が生じていた。このケースでは、Copilot に要約を依頼したメールが、信頼されていないコンテンツとなる。
この問題の本質は、信頼境界の設計にある。Copilot の要約パイプラインは、メールの内容を完全な raw コンテンツとして取り込み、悪意を持って追加された命令形式のテキストも処理してしまう。したがって、メール本文内に指示ブロックを作成する攻撃者は、アシスタント出力の操作が可能となる。
その結果、攻撃者が作成した内容が、Copilot の要約内に含まれるよう誘導できる。それらは、Microsoft セキュリティ・アラートを装うかたちで表示される。
重要な点として挙げられるのは、この攻撃ではコード実行の脆弱性を悪用する必要がないことだ。攻撃者は、Copilot を操作して、Copilot の声で話させるだけでよい。つまり、アシスタントの UI 信頼性を悪用し、フィッシング・コンテンツをシステムが生成する通知のように見せかけることが可能となる。
Permiso の検証では、Copilot のメール要約機能における 3 つの一般的なエントリー・ポイントが評価されている。
- Outlook Summarize Button:最もクリーンなテキストでは、このインライン要約機能は疑わしいコンテンツを検知し処理を拒否した。しかし、悪意のメールに長くて自然な文章を追加すると挙動は不安定になり、要約内に注入コマンドの一部が漏れるケースが確認された。
- Outlook Copilot Pane:Outlook のアドイン・チャット機能は、比較的慎重な挙動を示した。通常では、注入された悪意のブロックの実行を拒否したが、使用するメール・クライアントによっては、それに従うケースも確認された。
- Teams Copilot:Microsoft Teams でメール・コンテンツを要約する場合には、きわめて高い確率でエクスプロイトが成功した。通常の要約の直後に、攻撃者が作成した追加内容が表示されるケースが継続的に確認された。
重要なポイントは、インターフェイスごとに安全性が異なると、ユーザーが認識しない点である。エンドユーザーにとって Copilot は Copilot であるため、業務のフローに応じてインターフェイスが選択される。
この問題を、単なるモデルの挙動ではなく、深刻なセキュリティ問題にするのが “信頼移転” の現象であると、Permiso は指摘する。それぞれのユーザーは、長年のセキュリティ・トレーニングにより、メール本文の疑わしいテキストを警戒する習慣を持っている。しかし、AI が生成するサマリー・パネルに対しては、同じだけの警戒心が適用されない。
Copilot の検索範囲を考慮すると、この攻撃の危険度は高まる。Microsoft 365 Copilot は、そのライセンス/パーミッションのコンフィグに応じて、Teams 会話/OneDrive ファイル/SharePoint ドキュメント/ミーティング・ノートなどにアクセスできる。
Permiso の検証では、注入されたプロンプトに誘導される Copilot が、内部のコレボレーション・コンテキストを取得することが確認された。たとえば、サマリー内の攻撃者リンクに、最近の Teams メッセージなどを埋め込むことが可能となる。
それにより、ワンクリックのデータ流出経路が生まれる。”Verify your Identity” ボタンのように見えるリンクをユーザーがクリックすると、そのリンクに埋め込まれた内部コンテキストが攻撃者のインフラへと送信される。このユーザーは、ファイルのコピーや共有は行っていないが、データ流出は発生してしまう。
この攻撃パターンが、きわめて類似しているのは、Aim Security が発見した CVE-2025-32711 (EchoLeak) である。この脆弱性を悪用する攻撃者は、メール内に隠したプロンプトを介して Microsoft 365 Copilot を騙し、細工された image URL を通じて機密データを流出させた。
この問題が示すのは、AI 要約ツールに対する XPIA が単発の問題ではなく、再現可能なクロス・プラットフォーム脆弱性のクラスであることだ。
Microsoft 365 Copilot を使用する組織は、以下の対応を実施すべきだ:
- Copilot activity log の監視:Microsoft 365 テナント全体で、異常な検索パターンを確認する。この種のパターンが、XPIA エクスプロイト試行を示す可能性がある。
- 2026年03月パッチの適用:すでに Microsoft は、2026年03月11日の時点で、すべての影響を受けるサーフェスへのパッチ展開を完了している。
- Copilot permission の監査:Copilot の検索範囲を、業務に必要とされる範囲だけに制限する。Teams/OneDrive/SharePoint への cross-app アクセスは、可能な限り制限する。
- Microsoft Purview sensitivity label と DLP policy の有効化:これらのコントロールにより、検索ベースのデータ流出が試行された場合の影響の範囲が縮小される。
- Safe Links の有効化:Copilot インターフェイス内で表示されるアウトバウンド・リンクに対して URL 評価チェックを適用する。
- ユーザー教育:GenAI サマリー・パネル内に、攻撃者の影響を受けたコンテンツが表示される可能性について教育する。AI により生成されるコンテンツが、必ずしも “システム生成通知” に限られないことも理解させる。
Microsoft Copilot の利便性を逆手に取った攻撃を可能にする、AI セキュリティの脆弱性 CVE-2026-26133 が公開されました。この問題の原因は、外部から届いたメールという信頼できないコンテンツを AI が処理する際に、その中に埋め込まれている悪意の指示を、システムからの命令と誤認して実行してしまう Cross-Prompt Injection Attack (XPIA) にあります。
この攻撃は、従来のようにウイルス・ファイルを送りつけるのではなく、メール本文に自然な文章として攻撃用プロンプトを隠し持ちます。Copilot が、そのメールを要約しようとすると、埋め込まれた指示が発動し、Microsoft の公式セキュリティ・アラートを装う偽の通知が要約パネル内に表示されてしまいます。
ここで最も危険なのは、信頼移転と呼ばれる現象です。ユーザーは、不審なメール本文を警戒しますが、Microsoft の純正ツールが生成した要約画面に表示される内容は、システムによる公式な通知だと信じ込んでしまいます。それにより、フィッシングの成功率が劇的に高まります。なお、この脆弱性 CVE-2026-26133 は、2026年3月の Patch Tuesday の直後に公開されたようです。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.