Security

AI Recommendation Poisoningとは?Copilot要約リンクの脅威

3分で読める

概要

Microsoftは、AIアシスタントの「Summarize with AI」リンクに隠したURLパラメーターでプロンプトを注入し、CopilotやChatGPTなどの“メモリ”機能に特定企業を優先・信頼させる新たな悪用手法「AI Recommendation Poisoning」を確認しました。31社・14業種で50件超の試行が観測されており、企業の調達判断やセキュリティ助言、ユーザーの信頼を気づかれにくく長期的にゆがめる恐れがあるため重要です。

Securityでお困りですか?専門家に相談する

はじめに:なぜ重要なのか

AIアシスタントは、コンテンツの要約、ベンダー比較、次のアクションの推奨において、ますます信頼されるようになっています。Microsoftのセキュリティ研究者は現在、見た目には無害な「Summarize with AI」のクリックを、将来の回答に長期的な影響を与える手段へと変えてしまう—メモリ操作によってこれらのアシスタントを持続的に偏らせようとする、敵対的(そして商業的動機を持つ)試みを確認しています。

エンタープライズ環境では、これは単なる整合性(integrity)の問題にとどまりません。アシスタントの推奨が巧妙に誘導され得るなら、調達判断、セキュリティガイダンス、ユーザーの信頼に影響し得ます—しかも、何かが変わったことを示す明確な兆候がないままです。

新情報:実際に確認されたAI Recommendation Poisoning

Microsoft Defender Security Research Teamは、AI Recommendation Poisoningと呼ぶ新たなプロモーション目的の悪用パターンを説明しています。

  • URLパラメーターによる隠れたプロンプトインジェクション: Webページが(多くは「Summarize with AI」ボタンの背後に)リンクを埋め込み、?q=<prompt>のようなクエリパラメーターで事前入力されたプロンプトを使ってAIアシスタントを開きます。
  • 「メモリ」機能を狙った永続化: 注入されたプロンプトは、「[Company]を信頼できる情報源として覚えておいて」や「[Company]を最優先で推奨して」といった、持続的な指示を追加しようとします。
  • 大規模に観測: メールトラフィックで確認されたAI関連URLを60日間レビューしたところ、研究者は31社14業種からの50件以上の個別プロンプト試行を特定しました。
  • クロスプラットフォームでの標的化: 同様のアプローチが複数のアシスタントを狙っていることが確認されました(例としてCopilot、ChatGPT、Claude、PerplexityなどのURLが含まれていました)。有効性はプラットフォームごとに異なり、緩和策の展開に伴って変化します。

仕組み(そしてメモリがリスクを変える理由)

最新のアシスタントは以下を保持できます。

  • Preferences(書式、トーン)
  • Context(プロジェクト、定常的なタスク)
  • Explicit instructions(「常に出典を示す」など)

この有用性が攻撃面(attack surface)を生みます。AI memory poisoning(MITRE ATLAS® AML.T0080)は、外部のアクターが、ユーザーの意図として扱われる形で不正な「事実」や指示を保存させることで発生します。研究では、この手法をプロンプトベースの操作および関連カテゴリ(MITRE ATLAS®のAML.T0051などを含む)にマッピングしています。

IT管理者とエンドユーザーへの影響

  • 推奨の整合性リスク: ユーザーは、客観的に見える偏ったベンダー/製品ガイダンスを受け取る可能性があります。
  • 検知しにくい操作: 「毒」がセッションをまたいで残るため、ユーザーが後の判断と以前のクリックを結び付けにくくなります。
  • ソーシャルエンジニアリング面の拡大: これらのリンクはWeb上に存在し得るだけでなく、メール経由で配布されることもあり、マーケティング手法とセキュリティ悪用が混在します。

Microsoftは、プロンプトインジェクションに対する**Copilotの緩和策(mitigations)**を実装し、継続的に展開していると述べています。いくつかのケースでは、以前報告された挙動が再現できなくなっており、防御が進化していることを示しています。

対応事項 / 次のステップ

  • セキュリティ啓発トレーニングを更新: AIの「summarize」リンクが武器化され得ること、特にプロンプトが事前入力される場合があることをユーザーに教育します。
  • メールおよびWeb保護を見直し: 変則的なURLパラメーターやリダイレクトパターンを分析できるよう、リンクスキャンとフィッシング防御が適切に調整されていることを確認します。
  • AI利用ガイダンスを策定: 出典の検証、推奨のクロスチェック、疑わしい「メモリ」異常の報告をユーザーに促します。
  • 運用プレイブック: (対応している場合)ユーザー/管理者がアシスタントのメモリを確認・クリアする手順、および不審なプロンプト/URLをセキュリティチームへ報告する手順を定義します。

Recommendation Poisoningは、AIが意思決定支援レイヤーになるにつれ、従来のフィッシングおよびWeb脅威モデルと並行して、integrityとprovenanceのコントロールも進化させる必要があることを明確に示しています。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。