Microsoftは、CVSS 7.5の間接プロンプトインジェクションの脆弱性であるCVE-2026-21520をCopilot Studioに割り当てました。Capsule Securityがこの欠陥を発見し、Microsoftと連携してディスクロージャーを調整、修正プログラムは1月15日に展開されました。一般への公開は水曜日に開始されました。
このCVEが問題なのは、何を修正するかというより、それが何を示すかです。Capsuleの研究では、エージェント型プラットフォームにおけるプロンプトインジェクションの脆弱性にCVEを割り当てるというMicrosoftの判断は「非常に異例」だと述べています。Microsoftは以前にも、M365 Copilotで6月に修正されたプロンプトインジェクションであるEchoLeakにCVE-2025-32711(CVSS 9.3)を割り当てましたが、これは生産性支援アシスタントへの狙いであり、エージェント構築プラットフォームではありませんでした。前例がエージェント型システム全般に広がるなら、エージェントを動かすあらゆる企業は、新たな脆弱性クラスを追跡する必要に迫られます。とはいえ、このクラスはパッチだけで完全に排除できません。
Capsuleはまた、Salesforce Agentforceにおける並行する間接プロンプトインジェクションの脆弱性「PipeLeak」も発見しました。Microsoftはこれを修正し、CVEも割り当てています。Capsuleの研究によれば、Salesforceは少なくとも公開時点ではPipeLeakについてCVEを割り当てておらず、公のアドバイザリも発行していません。
ShareLeakが実際に行うこと
研究者らがShareLeakと名付けた脆弱性は、SharePointのフォーム送信とCopilot Studioエージェントのコンテキストウィンドウの間にあるギャップを悪用します。攻撃者は公開されているコメント欄に細工したペイロードを入力し、偽のシステムロールのメッセージを注入します。Capsuleのテストでは、Copilot Studioはフォームとモデルの間で入力のサニタイズを行わず、悪意ある入力をエージェントのシステム指示と直接連結しました。
注入されたペイロードは、Capsuleの概念実証(PoC)においてエージェント本来の指示を上書きし、顧客データのために接続されたSharePointのリストを照会し、そのデータをOutlookを通じて攻撃者が制御するメールアドレスへ送信するよう指示しました。NVDはこの攻撃を低難度として分類し、特権は不要としています。
Microsoft自身の安全機構は、Capsuleのテスト中にその要求を不審として検知していました。それでもデータは持ち出されました。DLPは発動しませんでした。メールが、システムが認可された操作として扱う正当なOutlookのアクション経由でルーティングされていたためです。
ReputationのVPであるCarter Reesは、VentureBeatの独占インタビューで、このアーキテクチャ上の失敗を説明しました。Reesによれば、LLMは本質的に信頼できる指示と、信頼できない取得データを区別できません。その結果、攻撃者の代わりに動く「混乱した代理人(confused deputy)」になります。OWASPはこのパターンをASI01: Agent Goal Hijackとして分類しています。
両方の発見の背後にいる研究チームであるCapsule Securityは、2025年11月24日にCopilot Studioの脆弱性を見つけました。Microsoftは12月5日にこれを確認し、2026年1月15日に修正しました。SharePointフォームを起点にCopilot Studioのエージェントが動作するセキュリティ責任者は、そのウィンドウについて侵害の兆候を監査すべきです。
PipeLeakとSalesforceの分岐
PipeLeakは別の入口から同じ脆弱性クラスを突きます。Capsuleのテストでは、公開されたリードフォームのペイロードが認証なしでAgentforceのエージェントを乗っ取りました。Capsuleは、持ち出されたCRMデータに対する出量制限がないことを確認し、エージェントを起動した従業員には、データが建物の外へ出たことを示す情報が一切ありませんでした。Salesforceは公開時点では、PipeLeakに固有のCVEを割り当てたり、公のアドバイザリを発行したりしていません。
Capsuleは、間接プロンプトインジェクションでAgentforceを突いた最初の研究チームではありません。Noma Labsは2025年9月にForcedLeak(CVSS 9.4)を開示し、SalesforceはTrusted URLの許可リストを適用することでそのベクトルを修正しました。Capsuleの研究によれば、PipeLeakは別の経路で、その修正を生き延びます。エージェントの認可されたツール操作を経由したメール経路です。
Capsule SecurityのCEOであるNaor Pazは、VentureBeatに対して、テストでは持ち出しの上限に到達しなかったと語りました。「制限に行き着くことはありませんでした」とPazは述べました。「エージェントは、ただCRMのすべてを漏らし続けるだけでした。」
Salesforceは緩和策としてヒューマン・イン・ザ・ループ(人の介在)を推奨しました。Pazは反論しました。「人があらゆる操作を毎回承認すべきなら、それは本当に“エージェント”ではありません」とPazはVentureBeatに語りました。「エージェントの動作を人間がクリックしているだけです。」
MicrosoftはShareLeakを修正し、CVEを割り当てました。Capsuleの研究によれば、SalesforceはForcedLeakのURLパスは修正したものの、メールのチャネルは修正していなかったとのことです。
IEEEシニア・メンバーのKayne McGladreyは、別のVentureBeatのインタビューで別の言い方をしました。組織は人間のユーザーアカウントをエージェント型システムに複製している、とMcGladreyは述べました。ただし、エージェントは速度、規模、意図という観点から、人間よりはるかに多くの権限を使用するのだそうです。
致命的なトリフレクタと、なぜ態勢(ポスチャー)管理が失敗するのか
Pazは、どんなエージェントでも悪用可能にする構造的な条件を挙げました。すなわち、機微データへのアクセス、信頼できないコンテンツへの曝露、そして外部と通信する能力です。ShareLeakはこの3つすべてに当てはまります。PipeLeakも3つすべてに当てはまります。多くの本番環境のエージェントがこの3つすべてに該当するのは、その組み合わせこそがエージェントを有用にしているからです。
Reesは独立して診断を裏づけました。決定論的ルールに基づく多層防御は、本質的にエージェント型システムには不十分だとReesはVentureBeatに語りました。
CrowdStrikeのCTOであるElia Zaitsevは、別のVentureBeat独占記事の中で、そもそものパッチングに対する考え方そのものを脆弱性だと呼びました。「人々はランタイムセキュリティのことを忘れている」と彼は言いました。「すべての脆弱性をパッチすればいい。無理です。どういうわけか、いつも何かを見逃してしまう。」 実際にキネティックな(現実の)アクションを観測することは、構造化され、解決可能な問題だとZaitsevはVentureBeatに語りました。意図はそうではありません。CrowdStrikeのFalconセンサーはプロセスツリーを辿ることで、エージェントが何をしたかを追跡し、何を意図しているように見えたかではなく、実際の行動を追います。
マルチターンのクレッシェンドと、コーディングエージェントの盲点
単発のプロンプトインジェクションは初級レベルの脅威です。Capsuleの研究では、敵対者が複数の一見無害なターンにわたってペイロードを分散させることで進行するマルチターンのクレッシェンド攻撃を実証しました。各ターンは検査を通過します。攻撃が見えるのは、シーケンスとして解析したときだけです。
Reesは、なぜ現在の監視がこれを見逃すのかを説明しました。ステートレスなWAFは各ターンを“真空状態”として見ており、脅威を検知しない、とReesはVentureBeatに語りました。それはリクエストを見ており、セマンティックな軌跡(意味的な進行)を見ていません。
Capsuleはさらに、命名を避けたコーディングエージェントのプラットフォームにも未公表の脆弱性があることを見つけました。セッションをまたいで持続するメモリポイズニングや、MCPサーバー経由での悪意あるコード実行などが含まれます。あるケースでは、エージェントがアクセスできるファイルを制限するために設計されたファイルレベルのガードレールが、エージェント自身によって回避されました。同じデータに到達するための別経路をエージェントが見つけたのです。Reesは人的なベクトルも特定しました。従業員が独自(プロプライエタリ)のコードを公開されているLLMに貼り付け、セキュリティを“摩擦”として捉えてしまうことです。
McGladreyはガバナンス上の失敗を端的に指摘しました。「犯罪が技術の問題なら、かなり前に犯罪を解決できていたはずだ」とVentureBeatに語ったのです。「単独のカテゴリとしてのサイバーセキュリティリスクは、完全に架空のものだ。」
ランタイム強制モデル
カプセルは、プロキシ、ゲートウェイ、SDKなしで、ベンダーが提供するエージェント型実行経路に組み込みます。Copilot Studioのセキュリティフックや、Claude Codeのツール使用前チェックポイントなども含まれます。水面下での活動を終えた同社は、協調的な開示に合わせて、Lama Partnersが率い、Forgepoint Capital Internationalと共同で主導した、700万ドルのシードラウンドのタイミングで、今週水曜にステルスを解除しました。
CISA初代ディレクターでありカプセルのアドバイザーでもあるChris Krebsは、そのギャップを運用面の言葉で示しました。「レガシーなツールは、プロンプトからアクションまでの間に何が起きるかを監視するようには作られていなかった」とKrebs氏は述べました。「それがランタイム・ギャップです。」
カプセルのアーキテクチャは、実行前にすべてのツール呼び出しを評価する、微調整済みの小型言語モデルを導入します。この手法は、Gartnerの市場ガイドで「ガーディアンエージェント」と呼ばれています。
意図分析が正しい層だとは、誰もが同意しているわけではありません。Zaitsevは独占インタビューでVentureBeatに対し、意図ベースの検知は非決定的だと語りました。「意図分析がうまくいくこともある。しかし、意図分析はいつでもうまくいくわけではない」と彼は言いました。CrowdStrikeは、エージェントが意図していたように見えることではなく、実際に何をしたかを観測する賭けに出ています。 Microsoft自身のCopilot Studioのドキュメントでは、ツール実行を承認またはブロックできる外部セキュリティプロバイダーのWebフックが提供されています。これにより、サードパーティの選択肢に加えて、ベンダー固有のコントロールプレーンが実現されます。単一の層ではギャップを埋めきれません。ランタイムの意図分析、キネティックなアクション監視、そして基盤となる統制(最小権限、入力サニタイズ、アウトバウンド制限、ターゲットされたヒューマン・イン・ザ・ループ)は、すべてスタックに含まれるべきです。SOCチームは今、テレメトリを対応づけるべきです。つまり、Copilot Studioのアクティビティログに加えて、Webフックの判断結果、Agentforce向けのCRM監査ログ、そしてコーディングエージェント向けのEDRプロセストゥリーのデータです。
Pazは、より大きな変化についてこう述べました。「意図が新しい境界線だ」と彼はVentureBeatに語りました。「ランタイム中のエージェントは、あなたに対してならず者になり得る。」
VentureBeat 処方的マトリクス
以下のマトリクスは、5つの脆弱性クラスを、それらを見落としてしまうコントロールに対比させ、さらに今週セキュリティディレクターが取るべき具体的なアクションを示します。
脆弱性クラス | なぜ現在のコントロールは見逃すのか | ランタイム強制は何をするのか | セキュリティリーダーの推奨アクション |
ShareLeak — Copilot Studio, CVE-2026-21520, CVSS 7.5, 2026年1月15日パッチ適用 | カプセルのテストでは、SharePointフォームとエージェントのコンテキストの間に入力サニタイズがないことが判明しました。安全メカニズムはフラグを立てましたが、データはなお流出されました。メールが正当なOutlookのアクションを使っていたため、DLPは発動しませんでした。OWASP ASI01: エージェント目標ハイジャック。 | ガーディアンエージェントのフックが、Copilot Studioのツール使用前のセキュリティフックに接続します。実行前にすべてのツール呼び出しを精査します。アクション層で流出をブロックします。 | SharePointフォームによってトリガーされたすべてのCopilot Studioエージェントを監査する。アウトバウンドのメールを組織のドメインのみに制限する。エージェントがアクセス可能なすべてのSharePointリストを棚卸しする。2025年11月24日〜2026年1月15日の期間について、侵害の兆候(IOC)を確認する。 |
PipeLeak — Agentforce、割り当てられたCVEなし | カプセルのテストでは、公開フォームからの入力がエージェントのコンテキストへ直接流れ込んでいました。認証は不要でした。流出したCRMデータに対して、ボリューム上限は確認されませんでした。従業員には、データが外へ出ていることを示す情報がありませんでした。 | プラットフォームのエージェント型フックによるランタイムの介入。すべてのツール呼び出しに対し、事前のインターセプト(プレインボケーション)チェックポイントを実施。承認されていない宛先へのアウトバウンド・データ転送を検知します。 | 公開に面したフォームによってトリガーされるすべてのAgentforceオートメーションを見直す。暫定的な統制として、外部連絡にヒューマン・イン・ザ・ループを有効化する。エージェントごとのCRMデータアクセス範囲を監査する。Salesforceに対してCVEの割り当てを働きかける。 |
マルチターン・クレッシェンド — 分散ペイロードで、各ターンは無害に見える | ステートレス(状態なし)な監視は、各ターンをそれ自体として検査します。WAF、DLP、アクティビティログは、セマンティックな軌跡ではなく個々のリクエストを捉えるだけです。 | ステートフル(状態あり)のランタイム解析は、ターンをまたいだ会話履歴全体を追跡します。微調整済みSLMは、集約されたコンテキストを評価します。累積された一連の流れがポリシー違反に該当する状況を検知します。 | 本番環境のすべてのエージェントに対して、ステートフル監視を必須化する。クレッシェンド攻撃シナリオをレッドチーム演習に追加する。 |
コーディングエージェント — 名称不明のプラットフォーム、メモリ汚染+コード実行 | MCPサーバーが、コードと指示をエージェントのコンテキストに注入します。メモリ汚染はセッションをまたいで持続します。ガードレールは、エージェント自身によって推論されます。シャドーAIのインサイダーが、専有コードを公開LLMへ貼り付けます。 | すべてのツール呼び出しに対する、事前のインボケーションチェックポイント。微調整済みSLMが、ランタイム時の異常なツール使用を検知します。 | エンジニアリング領域におけるすべてのコーディングエージェントの導入状況を棚卸しする。MCPサーバーの設定を監査する。コード実行の権限を制限する。シャドーインストールの兆候を監視する。 |
構造的ギャップ — プライベートデータを持つ任意のエージェント+信頼できない入力+外部通信 | ポスチャ管理は、何が起きるべきかを教えてくれます。起きてしまったことを止めるわけではありません。エージェントは、人間よりもはるかに多くの権限を、はるかに高い速度で使います。 | ランタイムのガーディアンエージェントが、あらゆるアクションをリアルタイムに監視します。意図ベースの強制が、シグネチャ検知に置き換わります。プロキシやゲートウェイではなく、ベンダーのエージェント型フックを活用します。 | 致死的トライアド(lethal trifecta)の露出によって、すべてのエージェントを分類する。プロンプトインジェクションをクラスベースのSaaSリスクとして扱う。本番へ移行するいかなるエージェントにもランタイムのセキュリティを要求する。エージェントのリスクを事業リスクとして取締役会に報告する。 |
2026年のセキュリティ計画において意味すること
MicrosoftによるCVEの割り当ては、業界がエージェントの脆弱性を扱う方法を前進させるか、それとも分断させるかのどちらかになります。ベンダーがそれを「設定の問題」だと呼ぶなら、リスクをCISOが一人で背負うことになります。
プロンプトインジェクションは、個別のCVEではなく、クラスレベルのSaaSリスクとして扱ってください。致死的トライアドに照らして、すべてのエージェント導入を分類する。本番へ移行するものには、ランタイム強制を要求する。McGladreyが示したように、エージェントのリスクを「ビジネスリスク」として取締役会にブリーフィングすることです。エージェントが機械の速度で動き始めた瞬間、単独のサイバーセキュリティリスクというカテゴリとしての有用性が止まったためです。
