レポート 5329

研究者がゼロクリック・コパイロットの脆弱性「EchoLeak」の詳細を明らかに
darkreading.com · 2025

重大な脆弱性により、攻撃者はCopilotユーザーに対してプロンプトインジェクション攻撃を仕掛けることができた可能性がありますが、Microsoftは最終的にこの問題が公表される前に対処しました。

AI製品分野のセキュリティツールを販売するAim Securityは水曜日、Microsoft 365 Copilotを標的としたゼロクリック脆弱性(CVE-2025-32711)である「EchoLeak」に関する調査を発表しました。Aim Securityの研究者によると、この脆弱性を利用した攻撃チェーンは「攻撃者がユーザーに気付かれることなく、また被害者の特定の行動に頼ることなく、M365 Copilotのコンテキストから機密情報や独自情報を自動的に盗み出すことを可能にする」とのことです。

Copilot は、M365 エコシステム内の AI を活用したツールスイートです。ユーザーは、生成されたテキストを使用してドキュメントを作成したり、メールや Excel 内のデータを分析し、エージェントを導入したりできます。これは、活発な LLM 製品分野 に最近登場したツールです。

Copilot は通常、顧客組織の社内メンバーにのみ公開されていますが、Aim Lab は、メールを送信するだけで攻撃を実行できると主張しています。

Microsoft はこの脆弱性を修正する更新プログラムをリリースしており、顧客による操作は不要であるとしています。また、現時点でこの攻撃によって顧客が侵害された事例は確認されていません。

EchoLeak の活動

攻撃は、脅威アクターが被害者にメールを送信することから始まります。このメールは、Copilot に機密データを提供するよう指示することを目的としています。言い換えれば、これは一種のプロンプトインジェクション攻撃です。これらのメールベースの攻撃は、AIエージェントがユーザーよりも先にメールをスキャンし、URLを確認して要約を生成するという点を典型的に利用しています。

しかし、クロスプロンプトインジェクション攻撃(XPIA)の分類器は通常、基本的なプロンプトインジェクションがユーザーの受信トレイに到達するのを防ぎますが、EchoLeakはメールの文言を、Copilotではなくユーザーへの指示のように読めるようにすることで分類器を回避し、メールを最終的な宛先に届けます。

攻撃者はメールに、自身のドメインへのリンクと「攻撃者のサーバーに記録されるクエリ文字列パラメータ」を付加しています。

「攻撃者の指示では、クエリ文字列パラメータはLLMのコンテキストから最も機密性の高い情報であるべきと指定されており、これにより情報の窃取が完了します」と調査には記されています。 Copilot は通常、チャットログ内のマークダウンリンクを安全ではないと判断される箇所から削除するはずですが、攻撃者の URL は参照形式のマークダウンを使用していたため、当時はこの安全策を回避していました。

ある事例では、研究者はこの戦略を用いて Copilot に「自分に送信した API キーは何ですか?」と質問したところ、Copilot インスタンスは応答を生成しました。

同様のマークダウン書式設定のトリックを用いることで、研究者はメール経由で Copilot を使って画像を生成することができました。ただし、この脆弱性の影響は、特にこのケースでは、URL のホワイトリスト登録を必要とする Microsoft のコンテンツ セキュリティ ポリシーによって軽減されていたはずです。「つまり、LLM に画像を送信させても、ブラウザは画像を取得しようとしないという仕組みです。evil.com は img-src CSP と互換性がないためです」と研究者は述べ、最終的に SharePoint と Microsoft Teams の招待プロセスの脆弱性を利用して、この仕組みを完全に回避しました。

Microsoft、EchoLeak への対応を発表

つまり、この脆弱性とより広範な攻撃チェーンにより、脅威アクターはフィルターを通過する特定のフレーズを含むメールを送信し、悪意のある指示が埋め込まれたリンクを記載し、Copilot を介して機密データを攻撃者が管理するドメインにフィードバックさせることが可能でした。しかも、これらすべてを既存のガードレールを回避しながら実行できたのです。

Microsoft の広報担当者は Dark Reading に対し、以下の声明を発表しました。

「Aim Labs がこの問題を特定し、責任を持って報告してくれたおかげで、お客様に影響が出る前に対処できました。この問題を軽減するために既に製品を更新しており、お客様による対応は必要ありません。また、セキュリティ体制をさらに強化するため、追加の多層防御対策も実施しています。」

この脆弱性は既に対処済みですが、CVE-2025-32711 の深刻度が CVSS スコア 9.3 と「緊急」と評価されたことは注目に値します。このようなプロンプト・インジェクションの脆弱性が他の AI 製品に影響を与える可能性については、依然として疑問が残ります。

Aim Securityの共同創業者兼最高技術責任者(CTO)であるアディール・グラス氏は、Dark Readingへのメールで、この種のプロンプトインジェクション攻撃は他のベンダーや製品にも「非常に関連している」ものの、エージェントごとに実装の詳細は異なると述べています。「既に他のプラットフォームで同様の脆弱性がいくつか発見されています」とグラス氏は付け加えています。

情報源を読む