AI実行環境が乗っ取られたら、何が起きるか。— Cowork実行環境のリスクと防護策

By |7月 12th, 2026|今週のSolacom, サイバー・開発部|

SECURITY DRAMA | 30秒FULL ANIMATION | 音声なし・自動再生 もし、Cowork実行機が乗っ取られたら——。便利な反面広範な業務ではさまざまな機微な情報を扱う業務PC。そこにまつわるリスクと対処法へのアプローチを解説します。 ※ この映像が表示されない場合は、PCのブラウザ(Chrome等)でお試しください。 ▶ 自動でループ再生されます。シークバーで任意の場面へ移動できます(カーソルを重ねた状態で Space=一時停止 / ←→=コマ送り)。 DRAMA▶BRIEFING   AI実行環境が乗っ取られたら、何が起きるか。 Claude Desktop Coworkなど多くのAIモデルで進む業務用端末のAI駆動化。顧客データや販売情報、官公庁では機微に関わるデータなどの取り扱いが飛躍的に上がると言えますが、その反面、セキュリティ侵害を受けた際の被害も格段に上がります。今回は、実機内でのAI駆動化によるリスクを実例に即し検証し、その対策を考えてみます。 Claude Cowork実行専用機(Windowsデスクトップ)がマルウェア感染等でリモートアクセス権を奪取された事態を想定した、リスク評価と防護設計の要点。 CLIENT メイン機 (クライアントPC) 利用者が指示を出すクライアント。アカウントの母艦。 CLOUD Anthropic クラウド AI推論・セッション管理。タスクをディスパッチ。 ⚠ 侵害発生点 EXECUTION Windows実行機(Cowork) ローカルでタスクを実行。ログイン済みセッションと作業ファイルを保持。 CONNECTED 業務コネクタ メール/クラウドドライブ/Teams等。本人のOAuth権限で接続。 ▲ 実行機が奪われると、被害はその1台にとどまらず「アカウント」と「接続済みの業務基盤」へ波及する。 非対称の 原則 Coworkのサンドボックスは「AIのタスクからPCを守る」仕組みであり、「PCの侵害からアカウントを守る」仕組みではない。実行機は便利だが信頼しない前提——権限を絞った従僕として設計する。 RISK想定されるリスク R1セッション奪取=なりすまし 端末に保持されたログイン済みセッションを窃取・直接操作され、攻撃者が「本人として」AIを自由に利用できる。パスワードの突破は不要。 R2コネクタ悪用最大リスク アカウントに接続済みのメール・ドライブ・Teamsを本人のOAuth権限のまま操作。メール送信、社内ファイルの検索・持ち出しがAI経由で可能になる。 R3履歴の窃取・成果物の改ざん 会話履歴・メモリの閲覧に加え、実行タスクや分析結果を書き換えられる。成果物の完全性(インテグリティ)が失われる。 R4メイン機への間接波及 共有ドライブに細工したファイルを設置し、後日メイン機側のAIが処理する際に不正な指示を実行させる迂回攻撃(プロンプトインジェクション)が成立し得る。 GUARD防護策(優先順) G1アカウント分離 [...]