Microsoft 365 Copilotのデータが漏洩 – ゼロクリック脆弱性に襲われる

Aim Securityのセキュリティ研究者は、「EchoLeak」を発見しました。これは、Microsoft 365 Copilotにおける最初の既知のゼロクリック人工知能（AI）脆弱性であり、攻撃者がユーザーの操作、リンクのクリック、ダウンロードを必要とせずに、悪意のあるメールを送信するだけで機密の企業データを静かに盗むことを可能にしました。

「この脆弱性は、AIセキュリティ研究における重要なブレークスルーを示しています。なぜなら、攻撃者がMicrosoft 365 Copilotのコンテキストから、ユーザーの操作を一切必要とせずに、最も機密性の高い情報を自動的に抽出できることを示しているからです」と、Aim Securityの共同創設者でCTOのAdir Grussはゼロクリック攻撃を説明しながら述べました。

EchoLeakとは？

2025年1月に発見され、2025年5月にMicrosoftのMSRCチームが修正を行った後に公開されたEchoLeakは、攻撃者がユーザーの接続されたMicrosoft 365環境から機密情報を抽出することを可能にした可能性があります。これには、Outlookのメール、OneDriveのファイル、Officeの文書、SharePointのコンテンツ、Teamsのチャット履歴が含まれます。これは、悪意のあるメールを送信するだけで実現されます。このメールは複数のセキュリティ保護を回避し、Copilotが通常はプライベートに保つ内部データを漏洩させるトリガーとなります。

さらに驚くべきことに、攻撃者は組織の従業員である必要はありません。外部の送信者が攻撃を開始することができます。

水曜日にAim Labsチームはブログ投稿で、EchoLeakが「大規模言語モデル（LLM）スコープ違反」と呼ばれる概念を悪用したと述べました。この場合、悪意のある行為者がマークダウン形式を使用して隠されたプロンプトを装飾した無害に見えるメールを送信します。

その後、ユーザーが関連する質問をCopilotに尋ねると、AIはそのコンテキストからメールを取得し、知らず知らずのうちに埋め込まれた指示を実行し、文書、メール、チャットなどの内部ソースから機密データを抽出します。

次に、攻撃者のプロンプトはCopilotに抽出されたデータを画像やリンクに埋め込むよう指示します。これにより、ブラウザはリソースを自動的に取得し、通常はSharePointやTeamsなどの信頼されたMicrosoftドメインを通じて、瞬時に機密情報を攻撃者が制御するサーバーに送信します。すべての操作はユーザーには見えないまま行われます。

EchoLeak攻撃チェーンの仕組み

攻撃チェーンは4つの段階で機能します：

1. XPIAバイパス

Microsoftは、XPIA（クロスプロンプトインジェクション攻撃）と呼ばれるシステムを使用して、疑わしいプロンプトがM365 Copilotの基盤となるLLMに到達するのを検出し、ブロックします。しかし、Aim Securityは、プロンプトインジェクション攻撃が、AI/アシスタント/Copilotなどの単語を完全に避けて、メールの受信者に対するカジュアルなガイダンスとして表現される場合、XPIAの分類器を簡単に回避できることを発見しました。

2. リンクの削除バイパス

通常、Copilotはユーザーがリンクをクリックする機会がある前に、チャット履歴から外部のマークダウンリンクを削除します。

しかし、攻撃者はリファレンススタイルのマークダウンリンクなどのトリックを使用して、Copilotの削除フィルターを回避し、M365 Copilotによってチャットから削除されません。これらのリンクは、その後、LLMの出力に静かに抽出されます。

3. 画像の削除バイパス
ユーザーが何もクリックする必要がないように、攻撃者はリファレンススタイルの画像マークダウンを使用します。ブラウザは攻撃者が制御するサーバーから画像を「読み込もう」とし、これによりユーザーの操作なしにデータの抽出が自動的にトリガーされます。

4. SharePointを使用したCSPバイパス

ほとんどの外部ドメインはMicrosoftのコンテンツセキュリティポリシー（CSP）によってブロックされているため、研究者たちはSharePointやMicrosoft Teamsなどの公認のMicrosoftサービスを通じて彼らの攻撃をルーティングしました。これにより、攻撃者はユーザーの操作、検出、または追加のアクセス権限なしに、機密のCopilotコンテキストデータを静かに抽出することができました。

技術的なメカニズムを超えて、この脆弱性はAim Labsが「RAGスプレー」と呼ぶ戦術に依存しています。攻撃者は、長いメールをチャンクに分割するか、ユーザーのクエリに合うように作成された複数のメールを送信することで、成功率を高めます。

Copilotが悪意のあるコンテンツを取得すると、攻撃者の指示に従って内部コンテキストから最も機密性の高いデータを抽出し、それを攻撃者のドメインに送信します。すべての操作はユーザーの認識なしに行われます。この脆弱性のチェーンは、AIアシスタントが内部データとどのように相互作用し、ユーザーの入力を解釈するかにおける重要な設計上の欠陥を浮き彫りにしています。

Microsoftの対応

Microsoftは、この重要なゼロクリックの欠陥にCVE-2025-32711を割り当て、CVSSスコア9.3を付与し、2025年5月にサーバー側の修正を適用しました。これはユーザーの介入を必要としませんでした。レドモンドの巨人は、実際の悪用の証拠はなく、影響を受けた顧客は知られていないと述べました。

EchoLeakの脆弱性を受けて、ユーザーや組織は潜在的なリスクを軽減するためにいくつかの積極的な手段を講じることが推奨されます。これには、信頼できないデータソースを制限するためにCopilotで外部メールコンテキストを無効にすること、プロンプトのために受信メールを確認すること、異常な動作を監視しブロックするためにファイアウォールレベルでAI特有のランタイムガードレールを実装すること、リンクや画像を通じてデータの抽出を防ぐためにAI出力でのマークダウンレンダリングを制限することが含まれます。