Microsoft Copilot が8か月間に2回感度ラベルを無視し、NHSの記録を含む企業データを露出させた

Microsoft Copilotのセキュリティ障害：崩壊した信頼のタイムライン

8ヶ月間で2度目となる、Microsoftの主力AIアシスタントであるCopilotが、企業の導入を安全にするために設計されたセキュリティプロトコルを回避していたことが判明しました。2026年初頭を通じて発生していた重大なバグにより、このAIは「機密（Confidential）」と明示的にマークされたメールを読み取り、要約し、表面化させることが可能になっていました。これはデータ損失防止（DLP）ポリシーをバイパスし、英国民保健サービス（NHS）を含む主要機関全体の機密データをさらけ出すものでした。

機密記録が4週間にわたって脆弱な状態に置かれた今回の最新のインシデントは、単発の不具合ではありません。これは2025年6月に発見された深刻な脆弱性に続くものであり、現代のAIセキュリティスタックにおける「構造的な盲点」という懸念すべき状況を浮き彫りにしています。企業が生成AI（Generative AI）の導入を急ぐ中、これらの繰り返される失敗は緊急の問いを投げかけています。DLPや感度ラベル（sensitivity labels）のようなレガシーなセキュリティフレームワークは、実行時に大規模言語モデル（LLMs）を真に制御できるのでしょうか？

2026年2月のインシデント：「機密」ラベルのバイパス

2026年1月下旬、Microsoft 365 Copilotのコードレベルの欠陥により、組織が最も機密性の高い通信を保護するために依存している「信頼の境界（trust boundary）」が事実上無効化されました。Microsoftによって**CW1226324**として追跡されたこのバグは、AIアシスタントが「高度な機密」などの制限的な感度ラベルが付いている場合や、アクティブなDLPポリシーの対象となっている場合でも、ユーザーの「送信済みアイテム」および「下書き」フォルダに保存されたメールにアクセスし、処理し、要約することを可能にしました。

通常の運用下では、感度ラベルはAIに対するデジタルの「立ち入り禁止」の標識として機能します。ドキュメントに「機密」のラベルが付いている場合、Copilotは検索拡張生成（RAG：Retrieval-Augmented Generation）プロセスの間、契約上および技術的にそれを無視する義務があります。しかし、2026年1月21日から2月19日までの約28日間、特定のOutlookフォルダにおいてこのメカニズムが機能しませんでした。

その影響は規制の厳しい分野で深刻に感じられました。膨大な量の個人患者データを管理するNHSは、このインシデントを内部でINC46740412としてフラグを立てました。約1ヶ月間、日常的な管理業務にCopilotを利用していたスタッフが、AIモデルには見えないはずの保護された保健情報（PHI）や内部戦略文書を、意図せず表面化させてしまった可能性があります。

Microsoftはその後修正を適用し、このバグは「本来許可されていない情報へのアクセスを誰にも提供しなかった」と述べていますが、この失敗はAIガバナンス（AI governance）の核となる約束、つまり「AIは無視するように指示されたデータを処理しない」という約束を揺るがすものです。法的またはコンプライアンスの文脈では、AIモデルによる制限されたデータの単なる「処理」（特権的な法的草案や患者記録の要約など）自体が、ポリシー違反を構成する可能性があります。

脆弱性のパターン：EchoLeakの先例

2026年2月の失敗は、1年足らずの間に起きたCopilotのセキュリティアーキテクチャに対する2度目の大きな打撃です。その8ヶ月前の2025年6月、研究者たちは**「EchoLeak」**（CVE-2025-32711）と呼ばれる重大な脆弱性を明らかにしました。

ラベルの機能不全であった2月のバグとは異なり、EchoLeakは洗練された「ゼロクリック」エクスプロイトでした。これにより、攻撃者は一見無害なメールに隠された命令を埋め込むことができました。Copilotがこれらのメールを処理すると、隠されたプロンプトがAIのコンテキストウィンドウを「乗っ取り」、ユーザーが侵害に気づくことなく機密データを取得して攻撃者に流出させるよう強制しました。

どちらのインシデントも危険な現実を露呈しています。Microsoftのセキュリティ制御は、LLMの複雑で非決定論的な性質に追いつくのに苦労しているということです。

最近のCopilotセキュリティ障害の比較

インシデント名	発生時期	根本原因	失敗のメカニズム
EchoLeak (CVE-2025-32711)	2025年6月	LLMスコア違反	悪意のあるプロンプトインジェクションにより、攻撃者がRAGの取得を乗っ取りデータを流出させた。
DLPバイパス (CW1226324)	2026年1月 - 2月	機能コードの欠陥	Copilotが特定のOutlookフォルダ（下書き/送信済み）の感度ラベルを無視し、機密データを要約した。

構造的な盲点：実行時 vs. 静的セキュリティ

これらの問題の再発は、従来のデータセキュリティと生成AIの動作方法との間の根本的な断絶を浮き彫りにしています。

DLPや感度ラベルのようなレガシーなツールは、静的またはトランザクション的な保護のために設計されています。それらは、「ユーザーAはファイルBを開く権限があるか？」や「このメールにクレジットカード番号が含まれているか？」といったバイナリな問いを投げかけます。

しかし、AI Copilotは**実行時（runtime）**に動的に動作します。これらはRAGを使用して、数ミリ秒のうちに数千のドキュメントから情報の断片をスキャン、取得、統合します。

コンテキストのギャップ： 2月のインシデントで見られたように、AIの取得ロジックにバグがある場合、AIはそれをブロックするはずのメタデータタグ（ラベル）を単に無視します。
解釈のギャップ： EchoLeakで見られたように、AIは悪意のあるデータをコマンドとして解釈するように騙されることがあり、マルウェアのシグネチャのみを探す静的なファイアウォールをバイパスします。

セキュリティの専門家は、「権限の適用」だけではもはや不十分であるとますます警告しています。AIレイヤー自体に専用のファイアウォールが必要です。それは、「誰が」データにアクセスしているかだけでなく、AIがリアルタイムでそのデータを使って「何を」しているかを検証するものです。

業界への影響：信頼の欠如

CIOやCISOにとって、「8ヶ月で2度」というタイムラインの影響は深刻です。NHSの露出は、リスクの高い環境においてプロバイダー独自のセキュリティ制御に依存することのリスクを示す強力なケーススタディとなります。

エンタープライズリーダーへの主要な教訓：

信頼よりも検証： 「DLPをオン」にするだけでAIのコンプライアンスが確保されると、組織はもはや想定できません。AIの実装に対する独立した監査や「レッドチーミング（Red Teaming）」が必須になりつつあります。
データのサニテーション： 「下書き」および「送信済み」フォルダの抜け穴は、データの衛生管理が極めて重要であることを示唆しています。古い下書きには、フィルタリングされていない思考や機密データが含まれていることが多く、AIによって表面化された場合、レピュテーションリスクを引き起こす可能性があります。
主権に関する懸念： 欧州議会やその他の政府機関が以前にデータの懸念からCopilotの展開を一時停止した際、これらの技術的な失敗は、重要なデータを汎用LLMから物理的に隔離する「ソブリンAI（sovereign AI）」アプローチの妥当性を証明しました。

Microsoftはこれらの脆弱性を修正するために動いていますが、これらの注目度の高い失敗が頻発していることは、エンタープライズAIのアーキテクチャがいまだに足場を固めている最中であることを示唆しています。静的な権限と動的なAI処理の間の「盲点」が解消されるまで、企業は次のデータ露出からわずか1回のアップデートの距離にあります。