情報漏洩につながるMicrosoft Copilotの6つのプロンプト「ボーナスはいくらですか?」

画像提供：マイナビニュース

Bleeping Computerは4月3日(米国時間)、「6 Prompts You Don't Want Employees Putting in Microsoft Copilot」において、生成AI(Artificial Intelligence)を活用したAIアシスタント「Microsoft Copilot」における業務上問題のあるプロンプトの例とその対策方法を解説した。

○AIアシスタント「Microsoft Copilot」の特徴

Microsoft Copilotは生成AIを活用して業務の生産性、創造性を高め、生活の中の人々やモノのつながりを円滑にできるといわれている。この機能はWord、Excel、PowerPoint、Outlook、TeamsなどのMicrosoft 365アプリに統合されており、会議のメモの要約、営業情報の検索、画像生成などに利用可能だ。

Bleeping Computerによると、Microsoft Copilotのセキュリティモデルはユーザーが持つ権限に基づいて回答を導き出せるという。しかしながら、権限が適切に設定されていない場合、ユーザーは簡単に機密情報にアクセスできてしまうため悪用されるリスクが存在すると指摘している。
○問題のある6つのプロンプト

Bleeping Computerは従業員が入力することでリスクが顕在化しかねない問題のあるプロンプトを6つ紹介している。それらプロンプトの概要は次のとおり。
○1.新入社員のデータを見せてください

従業員のデータには個人番号(マイナンバー)、住所、給与情報などがあり、適切に保護されていない場合、簡単に表示させることができる。

○2.2024年のボーナスはいくらですか

Copilotは表示する必要のある情報とそうでないものを区別できないという。そのため、アクセス可能であればすべての情報を表示するため、通常では知り得ない情報を出力する可能性がある。

○3.認証情報を含むファイルはありますか

Copilotは質問者以外の認証情報もアクセス可能であれば見つけ出して表示してしまう。クラウド上にそのような情報が存在しないか確認して取り除く必要がある。
○4.APIまたはアクセスキーを含むファイルはありますか

Copilotはクラウドアプリケーションに保存されているデータを活用することができるため、それらアプリケーションのAPIトークンを見つけ出すことができる。
○5.{企業の名前}の買収に関する情報はありますか