Copilot経由の情報漏洩リスク（CVE-2026-26144）― 情シスが取るべき緊急対策

2026年3月、Microsoft 365 Copilotに関する脆弱性「CVE-2026-26144」が公開されました。この脆弱性を悪用すると、Copilotを通じてユーザーが本来アクセスできないはずのデータが参照・出力される可能性があります。

Copilotの安全な導入チェックリストで事前対策を解説していましたが、今回は実際に発見された脆弱性への緊急対応に焦点を当てます。

CVE-2026-26144の概要

項目	内容
CVE ID	CVE-2026-26144
影響製品	Microsoft 365 Copilot（Word, Excel, PowerPoint, Teams, Outlook）
深刻度	High（CVSS 7.5）
攻撃ベクトル	ネットワーク経由／低い攻撃条件
影響	機密情報の意図しない開示
パッチ	2026年3月セキュリティ更新プログラムで修正

何が問題なのか

Microsoft 365 Copilotは、ユーザーの代わりにMicrosoft Graph APIを通じてメール、ファイル、チャット履歴などのデータにアクセスします。通常はユーザーのアクセス権限の範囲内でのみデータを参照しますが、CVE-2026-26144では以下のケースでアクセス制御が正しく機能しないことが判明しました。

問題のシナリオ

1. SharePointのサイト権限とファイル権限の不整合: サイトレベルではアクセス権がないが、ファイルの共有リンクが残っているケースで、Copilotがファイル内容を参照してしまう
2. 削除されたが保持ポリシーで残存するデータ: ユーザーが削除したメールやファイルが保持ポリシーにより残存している場合、Copilotの応答にその内容が含まれる可能性がある
3. Teams会議の文字起こしデータ: ユーザーが参加していない会議の文字起こしが、関連するチャネルの権限を通じてCopilotに参照される

実際のリスク

• 人事部門の給与データや評価情報がCopilotの応答に混入する
• 経営会議の議事録がCopilotを通じて一般社員に漏洩する
• M&A関連の機密資料がCopilotの要約に含まれる
• 退職者の個人情報が保持ポリシーにより残存し、Copilotが参照する

緊急対応手順

ステップ1：パッチの適用確認（最優先）

Microsoftは2026年3月のセキュリティ更新プログラムで修正を配布しています。Microsoft 365はサービス側での修正のため、テナント側での更新作業は基本的に不要ですが、以下を確認してください。

• Microsoft 365管理センター → サービス正常性 → メッセージセンターで、該当の修正通知を確認
• テナントの更新チャネルが「月次エンタープライズチャネル」の場合、適用が遅れる可能性がある
• 「最新チャネル」への一時切り替えを検討する

ステップ2：Copilotのアクセス範囲を監査

パッチが適用されるまでの間、Copilotがアクセスできるデータの範囲を確認・制限します。

SharePointの過剰共有を確認する：

# SharePoint Online Management Shell
Get-SPOSite -Limit All | ForEach-Object {
    Get-SPOSiteGroup -Site $_.Url | Where-Object { $_.Users -contains "Everyone except external users" }
}

機密性の高いサイトをCopilotの参照対象から除外する：

Microsoft 365管理センター → Copilot → データアクセス設定で、特定のSharePointサイトをCopilotの参照範囲から除外できます。

以下のサイトは即座に除外を検討してください：

• 人事・給与関連のSharePointサイト
• 経営企画・M&A関連のサイト
• 法務・コンプライアンス関連のサイト

ステップ3：共有リンクの棚卸し

古い共有リンクがCopilotのデータアクセスの穴になっています。

# 90日以上前に作成された「組織内の全員」向け共有リンクを検索
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-365) -EndDate (Get-Date) -Operations "SharingSet" -ResultSize 5000 | Where-Object {
    $_.AuditData -match "Anyone" -or $_.AuditData -match "Everyone"
}

ステップ4：監査ログでCopilotの利用状況を確認

Copilotがどのデータにアクセスしたかを監査ログで確認します。

1. Microsoft Purviewコンプライアンスポータル → 監査 → 検索
2. アクティビティで「CopilotInteraction」を選択
3. 過去30日間のCopilot利用ログを確認
4. 不審なデータアクセスがないか確認

中長期的な対策

CVE-2026-26144はパッチで修正されますが、根本的な問題は「Microsoft 365内のデータガバナンスが適切に構成されていない」ことです。

1. Microsoft Purview情報保護の活用

機密度ラベルを適用して、データの分類と保護を徹底します。

• 極秘: 経営情報、M&A資料、個人情報 → Copilot参照不可に設定
• 社外秘: 業務データ → 権限のあるユーザーのみCopilotで参照可
• 一般: 社内ナレッジ → Copilotで自由に参照可

2. アクセス権限の最小権限化

SharePoint、OneDrive、Teamsのアクセス権限を「最小権限の原則」で再設計します。

• 「組織内の全員」向け共有はデフォルトで禁止する
• 共有リンクの有効期限を設定する（推奨：30日）
• 定期的なアクセス権限レビューを実施する

3. Copilotの利用ポリシー策定

• Copilotを利用してよい業務範囲を定義する
• 機密データの取り扱いルールを明記する
• Copilotの応答に機密情報が含まれた場合の報告フローを整備する

Copilotを無効化すべきか？

パニック的にCopilotを全社無効化するのは推奨しません。パッチの適用とデータガバナンスの見直しで対応可能です。ただし、以下の条件に該当する場合は、一時的な無効化を検討してください。

• SharePointの権限管理が「全員に公開」状態になっている
• 機密度ラベルが一切適用されていない
• 共有リンクの棚卸しが完了していない

まとめ

CVE-2026-26144は、Copilotの利便性の裏にある「データガバナンスの甘さ」を浮き彫りにしました。パッチ適用は最優先ですが、真の対策はMicrosoft 365全体のアクセス権限とデータ分類の見直しにあります。

Copilotは正しく管理すれば生産性を大きく向上させるツールです。恐れて使わないのではなく、適切なガバナンスの上で活用しましょう。

Copilotのセキュリティ設定やデータガバナンスでお困りの方は、情シス365の無料相談をご利用ください。