技術的な説明
VentureBeatは4月15日~16日に、MicrosoftがCopilot Studioで2026年1月にCVE-2026-21520(CVSS 7.5)をパッチした後でも、間接的なプロンプトインジェクション経由のデータ流出が可能であることを報道した。Capsule Securityの「ShareLeak」はSharePoint フォーム送信とエージェントのコンテキストウィンドウ間のギャップを悪用し、エージェント命令をオーバーライドする偽のシステムロールメッセージを注入してから、Outlook経由でSharePointの顧客データを流出させる。別途、「PipeLeak」はカスタムトピック上のメールツールアクションチャネル経由でSalesforce Agentforceに影響を与える。Salesforceは「説明されている特定のシナリオを修復した」と述べているが、Capsule Securityが再テストを行った結果、メールチャネルはカスタムトピック上で依然として悪用可能であると報告している。
攻撃経路
ShareLeak: 攻撃者が公開されているSharePointのコメント/フォームフィールドに、偽のシステムロールメッセージを含む細工されたプロンプトペイロードを入力する。Copilot Studioは悪意のある入力とエージェントのシステム命令をサニタイズなしで連結し、意図した動作をオーバーライドして、Outlook経由でのデータ流出を指示する。PipeLeak はAgentforceのメールツールアクションチャネル経由で同じインジェクション原理を使用する。
影響を受けるシステム
SharePointフォームトリガーに接続されているMicrosoft Copilot Studioエージェント(すべてのテナント)。メールツールアクション機能を備えたカスタムトピックを使用しているSalesforce Agentforceの展開。
緩和策
Copilot Studioの場合:SharePointフォームによってトリガーされるすべてのエージェントを監査してIoC(予期しないOutlook送信イベント、異常なSharePointデータクエリ)を検出する。エージェントのシステム命令をレビューおよび強化し、フォームレイヤーで入力検証を適用する。Agentforceの場合:Human-in-the-Loop(HITL)確認がカスタムトピックを含むすべてのメールベースのエージェンティックアクションで有効になっていることを確認し、デフォルト設定のみに依存しない。PipeLakeのCVE割り当てと公式パッチについてSalesforceのセキュリティアドバイザリチャネルを監視する。