Copilotが機密ラベル無視?EDRが検知できないAIの死角

テクノロジー

現場でのMicrosoft Copilot導入が進む中、エンジニアにとって看過できない深刻なセキュリティ問題が浮上しています。生産性向上の切り札として期待されるAIアシスタントですが、その裏で「機密ラベルを無視する」という致命的な挙動が確認されました。

2026年2月21日現在、エンジニア界隈で議論を呼んでいる「AIの信頼境界」侵害のニュースと、EDRやWAFさえもすり抜けるその仕組み、そして私たちが取るべき具体的な対策について解説します。

【速報】Copilotが機密ラベルを無視し、DLPもすり抜けた4週間

まずは事実関係の整理からいきましょう。VentureBeatなどの報道によると、Microsoft Copilotにおいて、非常に厄介な不具合が発生していたことが明らかになりました。

具体的には、2026年1月21日からの約4週間、Copilotが「機密(Sensitivity)」ラベルやDLP(データ損失防止)ポリシーを無視して、本来アクセスしてはいけない機密メールを読み取り、要約してしまっていたというのです。

この問題の影響範囲は広く、英国の国民保健サービス(NHS)のような厳格な規制下にある組織でもインシデント(INC46740412)として記録されています。Microsoftはこの問題を「CW1226324」として追跡していますが、エンジニアとして注目すべきは以下のポイントです。

  • 既存のセキュリティツールが全滅: EDR(エンドポイント検知)もWAF(Webアプリファイアウォール)も、この違反を一切検知できませんでした。
  • 原因は内部パイプライン: 送信済みアイテムや下書きフォルダのメッセージが、コードのバグにより、ラベルによる制限を無視してCopilotの検索対象(Retrieval set)に入り込んでしまったようです。
  • 8ヶ月で2回目: 去る2025年6月に発覚した「EchoLeak(CVE-2025-32711)」に続き、短期間で2度目の「信頼境界(Trust Boundary)の侵害」となります。

つまり、私たちが「設定したから大丈夫」と信じていた機密保護ルールが、AIの内部処理の中では一時的に「無効」になっていたわけです。しかも、Microsoftがアドバイザリーを出すまで、誰も(ツールさえも)それに気づけなかったのです。

前回の教訓:EchoLeak(CVE-2025-32711)とは何だったのか

ここで、少し時計の針を戻して2025年6月の「EchoLeak」について振り返ってみましょう。この脆弱性は、RAG(検索拡張生成)システムにおいて、AIがプロンプトインジェクション攻撃を受けた際に、検索インデックス内のデータを意図せず攻撃者に出力してしまうというものでした。当時は「外部からの悪意ある入力」がトリガーでしたが、今回のCW1226324がさらに深刻なのは、「正常な利用環境下で、AI自体がアクセス制御を自発的に無視した」という点です。攻撃者がいなくても、AIのバグだけで情報漏洩が成立してしまうこの状況は、セキュリティ設計の根底を揺るがす事態と言えます。

【考察】なぜEDRやWAFは「AIの暴走」を見抜けないのか?

さて、ここからは現役エンジニアとしての考察です。今回の件、単なる「Microsoftのバグか、修正されたならいいや」で済ませてはいけない根深い問題を含んでいると思います。

最大の恐怖は、「従来のセキュリティアーキテクチャが、RAG(検索拡張生成)モデルに対して構造的に盲目である」という点です。

私たちエンジニアは普段、EDRで不審なプロセス監視をしたり、WAFで怪しいHTTPリクエストを弾いたりしていますよね。でも、今回のCopilotの挙動を想像してみてください。

  1. ユーザーが正当な権限でCopilotに質問する。
  2. Copilot(Microsoftのクラウド内)が、検索インデックスからデータを取得する。
  3. ここでバグ発生:本来除外すべき「社外秘」ラベルのついたメールを取得してしまう。
  4. LLMがそれを要約してユーザーに返す。

この一連の流れは、すべてMicrosoftのインフラ内部、つまり「検索インデックス」と「生成モデル」の間で完結しています。ユーザーのPC上で怪しいexeファイルが動いたわけでも、外部の攻撃者サーバーへ通信が発生したわけでもありません。だからこそ、既存の監視スタックでは「All Clear(異常なし)」と判断されてしまうのです。

これは、私たちが現在進行形で開発しているRAGアプリケーションにも同じことが言えます。「アクセス権限の制御」と「AIへの入力フィルタリング」を混同していたり、ベンダー側のブラックボックスに依存しすぎたりしていませんか?

【用語解説】エンジニアが押さえておくべきセキュリティ用語

AIセキュリティを語る上で欠かせない用語を、改めて整理しておきましょう。今回の事件を理解する上で重要なキーワードです。

  • DLP (Data Loss Prevention): 機密情報(クレジットカード番号や個人情報など)が組織外へ送信されるのを防ぐ仕組み。今回はCopilotがこのルールを無視してデータを読み込んでしまいました。
  • EDR (Endpoint Detection and Response): PCやサーバーなどの端末(エンドポイント)での不審な挙動を検知・対応する技術。AIクラウド内部の処理は監視範囲外となります。
  • WAF (Web Application Firewall): Webアプリケーションへの攻撃(SQLインジェクションなど)を防ぐファイアウォール。正常な通信として処理されるAIへのリクエストは見抜けないことが多いです。
  • RAG (Retrieval-Augmented Generation): AIが回答を生成する際に、外部のデータベースやドキュメントを検索して情報を補完する技術。今回の不具合は、この「検索(Retrieval)」プロセスでのアクセス権限チェックに失敗した事例です。

【未来】「設定」ではなく「実証」が求められる時代へ

2026年に入り、AIアシスタントはもはや「便利なツール」から「インフラの一部」になりました。ある調査によると、CISO(最高情報セキュリティ責任者)の約半数が、すでにAIエージェントの意図しない挙動を目撃しているそうです。

今後、エンジニアやセキュリティ担当者に求められるスキルセットは劇的に変わるかもしれません。

これまでは「管理画面でポリシーをオンにする」ことが仕事でした。しかしこれからは、「AIが本当にポリシーを守っているか、騙して検証する(Red Teaming)」能力が必要になります。

AIは確率的に動作する部分があり、今回のようにパイプラインのバグで「昨日は守っていたルールを今日は破る」ということが起こり得ます。「設定したからヨシ!」の時代は終わり、継続的な監査と実地テストが運用の常識になっていくでしょう。

【提言】エンジニアはどう動くべきか

では、具体的に明日から私たちは何をすべきでしょうか?ニュース記事のアドバイスも参考にしつつ、現場レベルでのアクションプランを考えてみました。

1. 「テスト駆動セキュリティ」の実践

設定を信じるのをやめましょう。開発でTDD(テスト駆動開発)をするように、セキュリティもテストが必要です。

  • 特定の「機密ラベル」を付与したダミーデータ(絶対に検索されてはいけない内容)を配置する。
  • 定期的にCopilotに対して、その情報を引き出そうとするプロンプトを投げるテストを行う。
  • もし引き出せてしまったら、即座に設定不備やベンダー側の障害を疑う。

これを毎月のルーチンにするだけでも、ベンダー発表より早く異常に気づけるかもしれません。

2. ログ監査の習慣化

今回の件は、EDRでは検知できませんでしたが、Microsoft Purviewなどの監査ログには痕跡が残る可能性があります。特に2026年1月21日から2月中旬にかけての期間、Copilotが異常なファイルにアクセスしていないか、ログを確認することをお勧めします。もしログが見れない、あるいは何にアクセスしたか復元できないなら、それはそれで「監査能力の欠如」としてリスク台帳に載せるべきです。

3. SharePointの「Restricted Content Discovery」の検討

本当に漏れては困る情報(人事データやM&A情報など)があるSharePointサイトについては、Copilotの検索対象から完全に除外する「Restricted Content Discovery(RCD)」等の機能を検討してください。AIに判断させるのではなく、論理的にデータを完全に遮断するのが最強の防御です。

RCDの実装手順例

RCD(Restricted Content Discovery)またはそれに準ずる検索制限機能を有効化するには、SharePoint管理センターを使用するのが確実です。

具体的には以下のステップで確認・設定を行います。(※コマンドや設定項目名は環境やバージョンにより異なるため、必ず最新の公式ドキュメントを参照してください)

  1. SharePoint Online Management Shell を起動し、管理者として接続します。
  2. 対象のサイトコレクションに対して、Copilotや検索クローラからのアクセスを制限する設定(Restricted SharePoint Search等)を有効化します。
  3. 設定後、実際にCopilotからそのサイト内の情報が検索できないことを、別アカウントを用いて検証します(ここが重要です)。

GUIで行う場合は、SharePoint管理センターの「設定」>「検索とインテリジェンス」セクションから、サイトごとの除外設定を確認してください。

まとめ

今回のニュースは、AI時代のセキュリティがいかに脆弱な基盤の上にあるかを浮き彫りにしました。「SaaSだからベンダーが守ってくれる」という神話は、AIの複雑なパイプラインの前では通用しません。

私たちエンジニアは、便利なツールを使いこなしつつも、その裏側にある「見えない処理」に対して常に健全な疑いを持つ必要があります。今回の件を他山の石として、自社のAI活用の足元を一度見直してみてはいかがでしょうか。

情報元: VentureBeat

※本記事は執筆時点(2026年02月21日)の情報に基づきます

コメント