Microsoft 365 Copilotにおける重大な脆弱性、機密データがAI要約にさらされる
Microsoft 365 Copilotにおいて重大なセキュリティ上の見落としが発見され、2026年1月下旬以降、AIアシスタントが機密メールを要約していたことが明らかになりました。この不具合は、確立されたデータ損失防止(DLP:Data Loss Prevention)ポリシーや秘密度ラベル(Sensitivity Labels)をバイパスし、ユーザーの「送信済みアイテム」や「下書き」フォルダに保存されている制限された情報へのAIのアクセスと処理を可能にしていました。
厳格なデータガバナンスを維持するためにMicrosoftのエコシステムに依存している企業にとって、この事案は、生成AI(Generative AI)を安全な企業環境に統合することの複雑さが増していることを浮き彫りにしています。Microsoftはこの問題をコードのエラーによるものと認め、修正プログラムの配布を開始しましたが、影響の全容については現在も調査中です。
侵害のメカニズム
アドバイザリID CW1226324 として追跡されているこの脆弱性は、特にCopilotの「ワーク」タブのチャット機能に影響を及ぼします。通常の運用では、Microsoft 365 Copilotは組織のコンプライアンス境界を尊重するように設計されており、DLPポリシーによって機密または制限付きとしてフラグが立てられたコンテンツを取得または要約することはありません。
しかし、「特定されていないコードエラー」によって、特定のメールカテゴリに対するこれらの保護策が事実上無効化されました。ユーザーがCopilotとやり取りした際、AIは、それらのメールがユーザーの送信済みまたは下書きフォルダにある場合に限り、機密として明示的にラベル付けされたメールからデータを取得することができました。
以下の表は、意図されたセキュリティプロトコルと、この事案中に示された動作との不一致をまとめたものです。
表:セキュリティプロトコル障害分析
| 機能 | 意図されたセキュリティ動作 | 不具合発生時の動作 |
|---|---|---|
| 秘密度ラベル | AIが「機密」または「内部限定」と マークされたドキュメント/メールへのアクセスをブロックする。 |
AIが送信済み/下書きフォルダ内の ラベル付きメールにアクセスし、要約した。 |
| DLPポリシー | 保護されたソースから承認されていないツールへの データ抽出を防止する。 |
ポリシーがバイパスされ、Copilotのコンテキストウィンドウへの データの流入を許容した。 |
| フォルダの範囲 | スキャンは、ユーザーが承認した受信トレイのアイテムと 安全なディレクトリに限定される。 |
アクティブスキャンの範囲が誤って拡張され、 送信済みアイテムと下書きが含まれた。 |
この障害は特に懸念されます。なぜなら、「送信済みアイテム」と「下書き」には、洗練されていない戦略文書、内部の財務に関する議論、人事案件など、まだ広範囲に配布する準備が整っていない、あるいは記録保持のためにアーカイブされた、内部コミュニケーションの中でも最も機密性の高い内容が含まれていることが多いためです。
検出と対応のタイムライン
この問題は2026年1月21日に最初に検出されましたが、包括的な是正計画が制定されるまで数週間持続しました。Microsoftは2月中旬にこのバグを公に認め、IT管理者がデジタル境界を保護するために信頼している秘密度ラベルをAIが無視することを許容するエラーがあったと述べました。
報告によると、修正プログラムの展開は2月初旬に始まりました。Microsoftは現在、パッチの効果を検証するために影響を受けた一部のユーザーに連絡を取っていますが、問題が世界的に完全に解決される明確なタイムラインは提供していません。この事案は現在、アドバイザリとしてフラグが立てられており、これは通常、範囲が限定された問題に対して予約される分類ですが、コンプライアンス要件の高い業界におけるデータ漏洩の可能性は、単なる定量的ではなく、定性的な影響を及ぼす可能性を示唆しています。
企業のAI導入への影響
この事案は、レガシーなITインフラストラクチャにおけるAI統合の「ブラックボックス」的な性質を再認識させるものです。組織が生産性向上のために Microsoft 365 Copilot のようなツールの導入を急ぐ一方で、これらのツールを管理するセキュリティアーキテクチャは、非決定的(non-deterministic)な動作を処理できるように進化しなければなりません。
主要なセキュリティ上の懸念事項:
- 信頼の低下: 基盤となるインフラストラクチャによってセキュリティラベルが無視されると、自動化されたコンプライアンスツールへの信頼が低下します。ITリーダーは、より強力な保証がない限り、さらなるAI機能の展開を躊躇する可能性があります。
- シャドウアクセス: このバグは、AIエージェントが標準的なユーザーやレガシーな検索ツールとは異なる権限やアクセス経路で動作することが多く、従来の監査で見落とされる可能性のある「シャドウアクセス」ポイントを作成することを示しています。
- コンプライアンス違反: 医療や金融などのセクターでは、AI要約ツールに対して機密性の高い下書きが一時的に公開されただけでも、GDPRやHIPAAのような規制の下で報告義務のあるデータ侵害に該当する可能性があります。
IT管理者への推奨事項
このアドバイザリを受け、Creati.aiはIT管理者およびセキュリティオペレーションセンター(SOC)が直ちに積極的な措置を講じることを推奨します。Microsoftは修正プログラムを展開していますが、高度なセキュリティ環境においてベンダーのパッチのみに依存することは不十分です。
- アドバイザリCW1226324の確認: 管理者は、Microsoft 365管理センターでこの特定のアドバイザリのステータスを継続的に監視し、自分のテナントがいつパッチを受け取るかを確認する必要があります。
- AIインタラクションの監査: 可能な場合は、1月下旬から2月中旬の間に発生したCopilotのインタラクションの監査ログを確認し、特に機密キーワードに関連するクエリを調査してください。
- 従業員トレーニングの強化: AIツールは強力ですが、これらのツールの安定性が保証されるまでは、AIチャットインターフェースで極秘情報を入力したり参照したりしないよう、スタッフに注意を促してください。
業界が進展するにつれ、Microsoftのようなベンダーには、セキュリティポリシーが検証できない場合にAIがデフォルトでアクセスを拒否する「フェイルクローズ(fail-closed)」メカニズムを実装することが期待されます。これは、機密データをさらしてしまう「フェイルオープン(fail-open)」エラーとは対照的です。このバグは、エンタープライズスイート内でのAI権限の検証に関する新しい基準を推進することになるでしょう。
