検知をすり抜ける“AI生成マルウェア”時代へ：ClickFix／PromptLock／Copilotのプロンプト注入に、ゼロトラスト×クラウド法務で備える

（最終更新：2026年2月28日）

国内大手企業を狙ったサイバー攻撃が相次ぎ、受注・出荷・配送停止など、IT障害がそのまま事業停止に直結する局面が増えています。さらに近年は、侵入後に生成AIを使って不正コードを“その場で生成”するなど、従来の検知モデル（静的シグネチャ中心）をすり抜ける攻撃が現実味を帯びてきました。

本記事では、日経で取り上げられた論点（フィッシング／ClickFix／ランサムウェア／生成AI悪用）を踏まえつつ、上級SE目線で「Microsoft 365／Azureで何を実装すべきか」、そしてクラウド法務（規程・契約・証跡）をどう噛み合わせるべきかを整理します。

1. 何が変わった？「侵入後にAIが不正コードを生成」＝“静的検知”が効きにくい

従来の典型的なマルウェアは、端末内に“悪意あるコードそのもの”を持ち、そこで暗号化や窃取などを実行します。ところが最近は、「プロンプト（指示文）」を持ち、必要なコードを生成AIで都度生成して実行する方向に進みつつあります。

ESETは、AIを悪用して不正なスクリプトをリアルタイム生成・実行する概念実証（PoC）として「PromptLock」を公表し、AI悪用がランサムウェア等を加速させ得る点を指摘しています。

ポイントはここです。

• 「ファイルとしての不正コード」が薄くなるほど、AV/EDRの“静的検知”依存が危険になる

• 結果として、**ID境界・権限・行動検知・監査ログ（証跡）**が主戦場になる

2. 入口は“偽認証”やClickFix：結局は「人」を踏む

侵入経路の定番は、今も昔も「フィッシング」です。加えて最近は、偽の認証画面・偽CAPTCHA等で“人間であることの確認”を装い、ユーザー操作を誘導して感染させる手口（ClickFix）が増えています（※本記事では具体コマンド等は割愛します）。

ここで重要なのは、「教育」だけで終わらせないこと。Microsoft 365側で“踏ませない仕組み”を作るのが現実解です。

Microsoft 365でのメール／URL対策（実装面）

• フィッシング対策ポリシーで、なりすまし・偽装等を検知し保護を強化

• Safe Links（安全なリンク）でURLをスキャン／書き換えし、クリック時も検証

• Safe Attachments（安全な添付ファイル）で添付ファイルを分離環境で評価（ポリシーで制御）

3. ランサムウェアは“暗号化＋暴露”が基本：技術対策は「侵入前」だけでは足りない

ランサムウェアは、暗号化だけでなく「情報窃取→暴露」をセットにした二重脅迫が一般化しています。ここで被害を拡大させる典型パターンは、

• 侵入 → 横展開 → 特権奪取 → 重要サーバーから一括窃取 → 暗号化・脅迫

です。したがって対策は、「侵入を防ぐ」＋「侵入後の横展開と特権奪取を止める」＋「復旧できる」の三点セットが必要です。

4. Copilot時代の新しい論点：AIは“便利なUI”であり“新しいデータ流通経路”でもある

日経記事では、生成AIを悪用した新手口や、プロンプト注入等のリスクも取り上げられていました。これはMicrosoft 365 Copilotを導入する企業ほど無関係ではありません。

まず押さえるべき「Copilotの前提」

Microsoftの公式情報として、Microsoft 365 Copilotは次の前提で説明されています。

• CopilotはMicrosoft Graph経由で組織データにアクセスし、ユーザーが権限を持つデータのみを扱う

• Copilotで扱われるプロンプト／応答／アクセスデータは、基礎LLMの学習には使用されない

• ユーザーのプロンプトと応答は履歴（アクティビティ）として格納され、管理者はPurview等で管理可能

• Microsoftは、脱獄やクロスプロンプトインジェクション攻撃を含む多層防御のセーフガードに言及

つまり、Copilot導入の成否は「権限設計」「共有の整理」「データ分類」の成熟度で決まります。（SharePointの過剰共有が残っていると、AIが“正しく”拾ってしまいます。）

“AI向けDLP”が現実装フェーズに入っている

最新のMicrosoft公式ドキュメントでは、Microsoft Purview DLPで「Microsoft 365 Copilot／Copilot Chat」を“場所”として指定し、プロンプトに機密情報が含まれる場合に応答を抑止する考え方が示されています（プレビュー扱いの説明あり）。

これは、技術者目線で言えば 「AIの入出力を“監査可能な制御点”に戻す」 ということです。

5. SE向け：Microsoftで組む“多層防御”チェックリスト（ゼロトラスト前提）

Microsoftのゼロトラスト展開計画では、ゼロトラストを「製品ではなく原則のセット」として、明示的に検証／最小特権／侵害前提を掲げています。

ここから先は、実装に落とします。

A. ID（最重要）：Microsoft Entra 条件付きアクセス

• 条件付きアクセスは、複数シグナルを統合してポリシー適用するゼロトラストのポリシーエンジン

• MFA必須、レガシー認証遮断、準拠デバイス要求…を「例外管理」込みで運用設計へ（“設定したが例外だらけ”が一番危険）

B. メール／Teams：Defender for Office 365で“踏ませない”

• フィッシング対策ポリシー（なりすまし／偽装等）

• Safe Links（URLのスキャン／書き換え／クリック時検証）

• Safe Attachments（分離環境での評価、ポリシーで制御）

C. 端末：Defender for Endpointで“挙動”を取りに行く

Defender for Endpointは、エンドポイント上の脅威の防止・検出・調査・対応を目的とし、攻撃面の削減や自動調査などの機能が整理されています。AI生成でコードが薄くなるほど、端末の行動・プロセス・通信・資格情報操作のほうが重要になります。

D. 検知と対応：Microsoft Sentinel（SIEM/SOAR）

Sentinelは、脅威ハンティングやインシデント調査、Logic Appsベースのプレイブック自動化などを通じて、対応をスケールさせる設計が示されています。

E. データ保護：Microsoft Purview（Copilot含む）

PurviewはCopilot／Copilot Chatに対して、監査・分類・機密ラベル・DLP等の機能群が整理されています。さらに、AI対話のプロンプト／応答が監査ログへ取り込まれる旨も明記されています。

F. “社内のAI利用”の可視化：DSPM for AI／Defender for Cloud Apps

Microsoftは、組織内のAI利用や機密データの可視化・制御のための手順として、Purview DSPM for AIやDefender for Cloud Apps等を整理しています。（Defender for Cloud Apps側では、生成AI関連アプリのカタログ・可視化・承認/ブロックの考え方が示されています。）

G. “AIエージェント”の統制：Copilotコントロールシステム

Copilotのエージェントは、管理センター側での統制（ポリシー、共有、発行、インベントリ等）を前提に整理されています。

6. 技術だけでは守り切れない：「クラウド法務」で“説明責任”を実装する

サイバー対策は、最終的に監査・取引先審査・事故対応で「説明できるか」が問われます。そのためには、設定だけではなく、

• セキュリティ基本規程／手順書

• 委託契約（責任分界、再委託、ログ、通知、監査協力など）

• 証跡の保管先・保持期間・誰が見るか

• インシデント時の初動手順・報告フロー（社内/委託先/ベンダー）

を、構成（Azure/M365の実装）と矛盾なく一体化させる必要があります。

山崎行政書士事務所では、規程・契約・記録（RoPA等）とAzure実装（Policy/Bicep/Terraform/Defender等）を同時に整備し、監査時の“根拠の一本道”を構築するという考え方を明示しています。また「構成で守る。証跡で証明する。」という方針で、設計・実装・運用・監査・契約まで一気通貫の支援を掲げています。

7. 【広告】山崎行政書士事務所の“クラウド法務×Azureセキュリティ”支援

攻撃は「技術」だけで終わりません。事故後に必要なのは、復旧に加えて「再発防止」「取引先説明」「監査対応」「社内統制の再設計」です。

当事務所は、静岡市を拠点に、静鉄全駅パネル掲出・市役所/郵便局等でのサイネージ広告も展開しつつ、地元の書類相談から企業のクラウドガバナンスまで対応しています。

ご相談いただけるテーマ例（企業向け）

• Microsoft 365／Azureのゼロトラスト設計（ID・端末・ログ・権限）

• Copilot導入前の「過剰共有」棚卸し、Purview設計（ラベル/DLP/監査）

• 委託先/SIer/SOCの責任分界と契約条項整備（証跡提出まで設計）

• セキュリティ規程・手順書・監査エビデンスパック整備（運用まで）

「現状の悩み」「やりたいこと」「制約（予算/人員）」を踏まえ、現場で回る現実解に落とし込みます。

※紛争性がある案件（交渉・訴訟等）や、法的代理が必要な対応は弁護士領域となります。本記事は一般情報であり、個別案件は状況により整理手順が異なります。

参考

▼日経（ご指定記事）
https://www.nikkei.com/prime/digital-governance/article/DGXZQOUC163YL0W5A011C2000000▼Microsoft公式（日本語）Microsoft 365 ゼロ トラスト展開計画
https://learn.microsoft.com/ja-jp/security/zero-trust/microsoft-365-zero-trustMicrosoft Entra 条件付きアクセス 概要
https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/overviewMicrosoft 365 Copilot のデータ、プライバシー、セキュリティ
https://learn.microsoft.com/ja-jp/copilot/microsoft-365/microsoft-365-copilot-privacyMicrosoft Purview（Copilot/Copilot Chatのデータ セキュリティ＆コンプライアンス）
https://learn.microsoft.com/ja-jp/purview/ai-m365-copilotPurview DLP（Microsoft 365 Copilot/Copilot Chatを場所にしたDLP：プロンプト制御）
https://learn.microsoft.com/ja-jp/purview/dlp-microsoft365-copilot-location-learn-aboutDefender for Office 365：安全なリンク
https://learn.microsoft.com/ja-jp/defender-office-365/safe-links-aboutDefender for Office 365：安全な添付ファイル
https://learn.microsoft.com/ja-jp/defender-office-365/safe-attachments-aboutMicrosoft Defender for Endpoint 概要
https://learn.microsoft.com/ja-jp/defender-endpoint/microsoft-defender-endpointMicrosoft Sentinel 概要
https://learn.microsoft.com/ja-jp/azure/sentinel/overviewAIアプリと機密データの検出（Microsoft Security for AI）
https://learn.microsoft.com/ja-jp/security/security-for-ai/discover