何が起きたか
2026年6月30日、Microsoft インシデント レスポンスは MCP ツール ポイズニングに関する詳細な脅威ブリーフを公開しました。攻撃者が MCP ツール説明に隠れた指示を埋め込み、エンタープライズ AI エージェント(Copilot Studio、Azure AI Foundry など)をハイジャックしてデータを静かに流出させるものです。このポストは Azure AI Content Safety Prompt Shields を推奨ランタイム防御として指定し、MCP サーバー メタデータを信頼されないインプットとして扱い、セキュリティ レビューを必要とすることを推奨しています。6月26日の関連ポスト(「2026年の MCP セキュリティの状態」)では、更新された OAuth 2.1/PKCE 認可強化および Prisma AIRS Scan API のテナント単位のレート制限が記載されています。
なぜ重要か
これは MCP サプライチェーン リスクに関する最初の Microsoft インシデント レスポンス級のアドバイザリであり、Agentic AI セキュリティを理論的なものから運用上緊急なものへと移行させます。本番環境で既に稼働している企業に影響を与える特定の Copilot Studio および Azure AI Foundry の攻撃パスを指摘し、一般的なガイダンスではなく具体的なツール(Prompt Shields、Entra Agent ID)を処方しています。
適用範囲
Microsoft 365 Copilot、Copilot Studio、または Azure AI Foundry エージェントを展開するエンタープライズの即座のアクション:MCP ツール メタデータを監査し、「すべて許可」MCP 権限を制限し、Prompt Shields を有効にし、Entra Agent ID を割り当てます。