レポート 5307

「EchoLeak」と呼ばれる新たな攻撃は、ゼロクリックAIの脆弱性として初めて発見されました。この脆弱性により、攻撃者はユーザーの操作なしにMicrosoft 365 Copilotから機密データを抜き出すことができます。

この攻撃は2025年1月にAim Labsの研究者によって考案され、Microsoftに発見内容を報告しました。Microsoftはこの情報漏洩の脆弱性にCVE-2025-32711という識別子を割り当て、深刻度を「重大」と評価しました。また、5月にサーバー側で修正を行ったため、ユーザーによる操作は不要です。

また、Microsoftは、実世界での悪用事例の証拠がないため、この脆弱性が影響を受ける顧客はいないと述べています。

Microsoft 365 Copilot は、Word、Excel、Outlook、Teams などの Office アプリに組み込まれた AI アシスタントです。OpenAI の GPT モデルと Microsoft Graph を活用し、ユーザーが組織内の社内ファイル、メール、チャットに基づいてコンテンツを作成し、データを分析し、質問に答えるのを支援します。

EchoLeak は修正済みで悪意のある攻撃に使用されたことはありませんが、「LLM スコープ違反」と呼ばれる新しい種類の脆弱性を実証したという点で大きな意義を持っています。この脆弱性は、大規模言語モデル (LLM) がユーザーの意図や操作なしに、特権を持つ内部データを漏洩させるものです。

この攻撃は被害者とのやり取りを必要としないため、企業環境で自動的にサイレントにデータ窃取を実行できます。これは、AI 統合システムにこれらの脆弱性が仕掛けられた場合の危険性を浮き彫りにしています。

EchoLeak の仕組み

攻撃は、Copilot とは無関係なテキストが含まれ、一般的なビジネス文書に見せかけた悪意のあるメールを標的に送信することから始まります。

このメールには、LLM に機密内部データの抽出と流出を指示する、巧妙に細工された隠しプロンプトインジェクションが埋め込まれています。

このプロンプトは人間にとって通常のメッセージのように表現されているため、Microsoft の XPIA（クロスプロンプトインジェクション攻撃）分類器の保護を回避します。

その後、ユーザーが Copilot に関連する業務上の質問をすると、そのフォーマットと関連性の高さから、Retrieval-Augmented Generation（RAG）エンジンによってメールが LLM のプロンプトコンテキストに取得されます。

LLM に到達したこの悪意のあるインジェクションは、LLM を「騙して」機密内部データを抽出し、巧妙に細工されたリンクや画像に挿入します。

Aim Labs は、一部の Markdown 画像形式がブラウザに画像をリクエストさせ、埋め込まれたデータを含む URL を自動的に攻撃者のサーバーに送信することを発見しました。

Microsoft CSP はほとんどの外部ドメインをブロックしますが、Microsoft Teams と SharePoint の URL は信頼されているため、これらを悪用して問題なくデータを流出させることが可能です。

EchoLeakは修正されましたが、LLMアプリケーションの複雑さの増大とビジネスワークフローへのより深い統合は、既に従来の防御を圧倒しています。

同じ傾向は、攻撃者が巧妙に悪用して大きな影響を与える攻撃を仕掛けることができる、新たな武器化可能な脆弱性を生み出すことは間違いありません。

企業にとって、プロンプトインジェクションフィルターを強化し、きめ細かな入力スコープを実装し、LLM出力に後処理フィルターを適用して、外部リンクや構造化データを含む応答をブロックすることが重要です。

さらに、RAGエンジンは外部通信を除外するように設定できるため、悪意のあるプロンプトの取得を最初から防ぐことができます。