技術的な説明
VentureBeatが4月15~16日に報じたところによると、MicrosoftがCopilot StudioでCVE-2026-21520 (CVSS 7.5)に2026年1月にパッチを適用したにもかかわらず、間接プロンプトインジェクション経由のデータ流出は依然として達成可能である。Capsule Securityの「ShareLeak」は、SharePointフォーム送信とエージェントのコンテキストウィンドウ間のギャップを悪用し、エージェント指示を上書きする偽のシステムロールメッセージをインジェクションしてから、Outlook経由でSharePointカスタマーデータを流出させる。別途、「PipeLeak」はカスタムトピックのメールツールアクションチャネル経由でSalesforce Agentforceに影響を与える。Salesforceは「説明されている特定のシナリオを修復した」と述べているが、Capsule Securityが再テストしたところ、メールチャネルはカスタムトピックで依然として悪用可能であると報告している。
攻撃経路
ShareLeak: 攻撃者が公開されているSharePointコメント/フォームフィールドに、偽のシステムロールメッセージを含むクラフトされたプロンプトペイロードを入力する。Copilot Studioは悪意のある入力をサニタイズなしでエージェントシステム指示と連結し、意図された動作を上書きしてOutlook経由のデータ流出に指示する。PipeLeakは、Agentforceのメールツールアクションチャネルを通じて同じインジェクション原則を使用する。
影響を受けるシステム
SharePointフォームトリガーに接続されたMicrosoft Copilot Studioエージェント(すべてのテナント)。メールツールアクション機能を持つカスタムトピックを使用しているSalesforce Agentforceのデプロイメント。
緩和策
Copilot Studio向け: SharePointフォームでトリガーされるすべてのエージェントについてIoCの監査(予期しないOutlook送信イベント、異常なSharePointデータクエリ)を実施する。エージェントシステム指示をレビューおよび強化し、フォームレイヤーで入力検証を適用する。Agentforce向け: カスタムトピックを含むすべてのメールベースのエージェンティックアクションで、Human-in-the-Loop (HITL)確認が有効になっていることを確認する。デフォルト設定のみに依存しない。Salesforceのセキュリティアドバイザリチャネルを監視してPipeLeak用のCVE割り当てと公式パッチを確認する。