Microsoft は2026年5月7日、Microsoft 365 CopilotおよびMicrosoft EdgeのCopilot Chatに影響するCritical評価の情報漏洩脆弱性を3件公開し、同日中にクラウド側での修正を完了した。エンドユーザーや管理者による追加対応は不要とされているが、Copilotに付与されたデータアクセス権限の設計を見直す契機として受け止めるべき事案だ。

3件の脆弱性——何が起きていたのか

今回公開されたのはCVE-2026-26129、CVE-2026-26164、CVE-2026-33111の3件で、いずれも機密情報漏洩(Information Disclosure)を引き起こしうるインジェクション系の脆弱性だ。

CVE-2026-26129 はMicrosoft 365 CopilotのBusiness Chat機能が対象。ダウンストリームコンポーネントへの出力で特殊文字が適切に処理されない(CWEでいうインジェクション系)ことで、ネットワーク経由で機密情報が漏洩する可能性があった。

CVE-2026-26164 も同じくM365 Copilotを対象とし、CWE-74(インジェクション)に分類される。攻撃ベクターはネットワーク経由、特権不要・ユーザー操作不要という条件で、CVSS スコアは7.5(時間的スコア6.5)。機密性への影響は「高」と評価されている。Microsoftの社内研究者であるEstevam Arantesと独立研究者の0xSombraの連名で発見が報告された。

CVE-2026-33111 はMicrosoft Edgeに組み込まれたCopilot Chat機能に影響し、CWE-77(コマンドインジェクション)に分類される。CVSSスコアはCVE-2026-26164と同じく7.5/6.5で、攻撃プロファイルも同様。エンタープライズ環境でEdgeの展開が広がっていることを考えると、潜在的な影響範囲は無視できない。

Microsoftは「いずれも公開前の悪用は確認されていない」と明言しており、クラウド側のサービス層でパッチを適用済みだ。

なぜAIツールが情報漏洩リスクの新たな標的になるのか

今回の事案が単なるパッチ情報以上の意味を持つのは、Microsoft 365 Copilotというサービスの性質にある。

Copilotはユーザーの指示に応じてメール、ドキュメント、Teamsの会話、SharePointのファイルなど、組織内の膨大なデータを横断的に参照・要約する。つまり、単一エンドポイントへの攻撃が、従来のファイルサーバー侵害では得られなかった「横断的な情報収集」を可能にしてしまう構造になっている。

インジェクション系の脆弱性がAIの出力パイプラインに潜むと、攻撃者はCopilotが生成したレスポンスの中に細工された要素を混入させ、信頼境界を越えて機密情報を引き出せる可能性がある。メールの内容、社内の機密文書、制限付き記録などが、正規ユーザーに成りすました形で漏洩しうる。

日本の企業IT担当者がすべき対応

「クラウド側で修正済みだから終わり」で済ませてほしくない事案だ。具体的に確認しておくべき点を挙げる。

1. Copilotのアクセス権限を最小化する Copilotは設定次第で組織内のほぼすべてのデータにアクセスできる。「使いやすさ」優先でデフォルトのまま運用している場合、脆弱性が悪用されたときの影響範囲が最大化してしまう。SharePointの権限設計、センシティブなラベル付きコンテンツへのCopilotアクセス制御を今すぐ確認すること。

2. Microsoft Purview との連携を確認する Microsoft Purviewの機密ラベル(Sensitivity Labels)を正しく設定していれば、CopilotはラベルベースのDLP(データ損失防止)ポリシーに従って動作する。ラベル付けが不完全な環境では、攻撃面は広いままだ。

3. Edge の Copilot Chat の利用範囲を把握する CVE-2026-33111はEdge組み込みのCopilot Chatに関するものだ。エンタープライズ向けにEdgeを標準ブラウザとして展開している組織では、Copilot Chatの機能制限ポリシー(EnterpriseNewTabPageHideDefaultTopSites や Copilot 関連のグループポリシー)を整備しておくことを勧める。

4. 今後の同種脆弱性に備えた監視体制を構築する MicrosoftはクラウドCVEの透明性イニシアティブとしてこれらを公開している。同様の開示が今後も続く可能性が高い。Microsoft Security Response Center(MSRC)のフィードを定期的に監視し、Copilot関連の更新情報をキャッチアップする運用フローを確立しておこう。

筆者の見解

Microsoftが今回の脆弱性を「クラウドCVE透明性プログラム」として積極的に開示したこと自体は、正しいアプローチだと思う。悪用の事実なし、ユーザー対応不要、公開と修正を同日実施——この対応のスピードと透明性は評価に値する。

ただ、根本的な問いは別にある。「AIが組織データを横断的に集約・処理する」というアーキテクチャそのものが、インジェクション系脆弱性と組み合わさったとき、従来のエンドポイント侵害では得られなかったレベルの情報収集を攻撃者に提供してしまう——この構造的リスクに、われわれは真剣に向き合う必要がある。

Copilotにブロードなアクセス権を付与して「AIがなんでも答えてくれる」状態を作るのは、セキュリティの観点ではJust-In-Timeとは真逆の設計だ。「常時アクセス可能」が特権アカウント管理における最大リスクであるのと同じ原則が、AIエージェントにも適用される。Non-Human Identityとしての Copilot にどこまでアクセスを許可するか——この問いを真剣に設計フェーズで議論していた組織は、今回の件でもリスクを最小化できていたはずだ。

Microsoftには、Copilotの権限モデルと最小権限設計を、もっとわかりやすく・導入しやすい形でユーザーに提供してほしい。技術的には実現できる力がある会社なのだから、セキュリティを後付けではなくアーキテクチャの中心に置いた設計を見せてくれると、Copilot全体への信頼回復にも繋がるはずだ。

出典: この記事は Critical Microsoft 365 Copilot Vulnerabilities Expose Sensitive Information の内容をもとに、筆者の見解を加えて独自に執筆したものです。