Security

Copilot Studio Agentsの設定ミス10選とDefender対策

3分で読める

概要

Microsoftは、Copilot Studio Agentsで実際に確認された10の代表的な設定ミスを公開し、各リスクをMicrosoft DefenderのAdvanced Hunting Community Queriesで検出できるようにしたと紹介しています。共有範囲の過大設定、未認証アクセス、危険なHTTPアクション、ハードコード資格情報などは、見逃されやすい一方でデータ漏えいや権限昇格の入口になるため、IT管理者やセキュリティ担当者にとって事前の可視化とポスチャ管理が重要だと強調しています。

Securityでお困りですか?専門家に相談する

はじめに: なぜ重要なのか

Copilot Studio agents は、データ取得、アクションのトリガー、内部システムとの大規模な連携など、運用ワークフローに急速に組み込まれつつあります。こうした自動化は一方で、agent の共有範囲が不適切だったり、過剰な権限で実行されたり、標準のガバナンス制御を迂回したりすると、新たな攻撃経路を生み出します。Microsoft の Defender Security Research チームは、これらの問題が「現場(in the wild)」で発生していることを確認しており、明確なアラートが出ないケースも多いため、プロアクティブな発見とポスチャ管理が不可欠です。

新情報: よくある Copilot Studio agent の 10 のリスク(と検出方法)

Microsoft は、agent の実用的な設定ミス Top 10 を公開し、それぞれを Microsoft Defender Advanced Hunting の Community Queries(Security portal → Advanced huntingQueriesCommunity queriesAI Agent folder)にマッピングしました。主なリスクは次のとおりです。

  1. 共有範囲が広すぎる(組織全体または大規模グループ)– 攻撃対象領域が拡大し、意図しない利用を招きます。
  2. 認証不要 – 公開/匿名の入口となり、データ漏えいにつながる可能性があります。
  3. 危険な HTTP Request アクション – connector エンドポイントへの呼び出し、非 HTTPS、または標準外ポートは、connector のガバナンスやアイデンティティ制御を迂回し得ます。
  4. メールを使ったデータ持ち出し経路 – AI により制御される値や外部メールボックスへ agent がメール送信できる場合、prompt injection に起因する exfiltration を可能にします。
  5. 休眠中の agents/actions/connections – 古いコンポーネントが、権限を残したまま見えにくい攻撃対象領域になります。
  6. 作成者(maker)認証 – 職務分離を弱め、特権昇格を可能にする恐れがあります。
  7. トピック/アクション内の ハードコードされた資格情報 – 資格情報の漏えいや使い回しの可能性が高まります。
  8. Model Context Protocol (MCP) ツールが構成済み – 文書化されていないアクセス経路や、意図しないシステム連携を持ち込む可能性があります。
  9. 指示なしの Generative orchestration – 振る舞いのドリフトや prompt 悪用のリスクが高まります。
  10. 孤立した agents(アクティブな所有者がいない)– ガバナンスが弱くなり、時間の経過とともに管理されないアクセスが残ります。

IT 管理者とセキュリティ チームへの影響

  • 可視性のギャップ: これらの設定ミスは作成時点で悪意があるように見えにくく、従来のアラートでは検知されない場合があります。
  • アイデンティティとデータの露出: 未認証アクセス、maker 資格情報、過度な共有は、agent を組織データへの低摩擦なピボットに変え得ます。
  • ガバナンスの迂回: 直接の HTTP アクションは、Power Platform の connector 保護(validation、throttling、identity enforcement)を回避できてしまう可能性があります。
  • 運用リスク: 孤立した agent や休眠中の agent は、所有者や意図が不明になった後も、ビジネス ロジックとアクセス権を維持します。

実施事項 / 次のステップ

  1. AI Agent Community Queries を今すぐ実行して結果のベースラインを作成します(まずは: 組織全体への共有、認証なし agent、作成者認証、ハードコードされた資格情報)。
  2. 共有と認証を強化: 最小権限アクセスを徹底し、本番用の agent にはすべて認証を必須化します。
  3. HTTP Request の利用を見直す: ガバナンスされた connectors を優先し、非 HTTPS と標準外ポートは即時修復対象としてフラグ付けします。
  4. 送信メールのシナリオを制御: 外部宛先を制限し、動的入力を検証し、prompt injection 風のパターンを監視します。
  5. ライフサイクル ガバナンスを確立: agent を棚卸しし、孤立した agent は削除または所有者を再設定し、休眠中の connections/actions を廃止します。

agent の設定をセキュリティ ポスチャの一部として扱い、これらのパターンを継続的にハントすることで、攻撃者が運用に組み込む前に露出を低減できます。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Copilot StudioMicrosoft DefenderAdvanced HuntingAI securityPower Platform governance

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。