もし、Cowork実行機が乗っ取られたら——。便利な反面広範な業務ではさまざまな機微な情報を扱う業務PC。そこにまつわるリスクと対処法へのアプローチを解説します。
※ この映像が表示されない場合は、PCのブラウザ(Chrome等)でお試しください。
▶ 自動でループ再生されます。シークバーで任意の場面へ移動できます(カーソルを重ねた状態で Space=一時停止 / ←→=コマ送り)。
DRAMA▶BRIEFING
AI実行環境が乗っ取られたら、何が起きるか。
Claude Desktop Coworkなど多くのAIモデルで進む業務用端末のAI駆動化。顧客データや販売情報、官公庁では機微に関わるデータなどの取り扱いが飛躍的に上がると言えますが、その反面、セキュリティ侵害を受けた際の被害も格段に上がります。今回は、実機内でのAI駆動化によるリスクを実例に即し検証し、その対策を考えてみます。
Claude Cowork実行専用機(Windowsデスクトップ)がマルウェア感染等でリモートアクセス権を奪取された事態を想定した、リスク評価と防護設計の要点。
(クライアントPC) 利用者が指示を出すクライアント。アカウントの母艦。
クラウド AI推論・セッション管理。タスクをディスパッチ。
▲ 実行機が奪われると、被害はその1台にとどまらず「アカウント」と「接続済みの業務基盤」へ波及する。
原則
Coworkのサンドボックスは「AIのタスクからPCを守る」仕組みであり、「PCの侵害からアカウントを守る」仕組みではない。実行機は便利だが信頼しない前提——権限を絞った従僕として設計する。
RISK想定されるリスク
端末に保持されたログイン済みセッションを窃取・直接操作され、攻撃者が「本人として」AIを自由に利用できる。パスワードの突破は不要。
アカウントに接続済みのメール・ドライブ・Teamsを本人のOAuth権限のまま操作。メール送信、社内ファイルの検索・持ち出しがAI経由で可能になる。
会話履歴・メモリの閲覧に加え、実行タスクや分析結果を書き換えられる。成果物の完全性(インテグリティ)が失われる。
共有ドライブに細工したファイルを設置し、後日メイン機側のAIが処理する際に不正な指示を実行させる迂回攻撃(プロンプトインジェクション)が成立し得る。
GUARD防護策(優先順)
実行機は専用アカウント(別シート)で運用し、メモリ・履歴・コネクタが集約されたメインアカウントを持ち込まない。被害半径を「その1台」に閉じ込める。
実行機側のアカウントにはメール等を原則接続しない。必要な時だけ付与し、作業終了後に解除する。
実行機ではブラウジング・メール閲覧をしない。非管理者アカウントで常用、EDR導入、ネットワーク分離(VLAN)を標準とする。
マルウェア解析・不審ファイルの検証はAI非ログインの使い捨て環境で行い、Cowork実行機では絶対に行わない。侵害シナリオの発生確率そのものを下げる。
侵害を疑った瞬間に迷わないよう、下記3ステップを手順書化し、担当と連絡経路を決めておく。
■ 侵害を疑ったら——遮断の3ステップ
遮断後は、当該アカウントのメモリ・成果物・共有ファイルを「汚染されている前提」で点検してから業務に復帰する。




