セキュリティ研究者がMicrosoft 365 Copilotのゼロクリック脆弱性「EchoLeak」を発見しました。この脆弱性により、ユーザーの操作なしに機密データが漏洩する可能性があります。Microsoftはこの脆弱性を軽減しました。
AIM Securityのセキュリティ研究者は、「EchoLeak」と呼ばれる深刻なゼロクリック脆弱性を明らかにしました。この脆弱性はAI搭載のMicrosoft 365 Copilotを標的としており、サイバー犯罪者は巧妙に作成されたメールを送信するだけで、ユーザーの組織環境から個人データを盗み出すことができます。
AIM Securityは今週公開されたレポートで、これがMicrosoft 365 Copilotのような主要なアプリケーションに影響を及ぼす初めての「ゼロクリック」AIエクスプロイトであると述べています。つまり、攻撃を成功させるためにユーザーが何らかのアクションを取る必要がないということです。
「このチェーンにより、攻撃者はユーザーに知られることなく、また被害者の特定の行動に頼ることなく、M365 Copilot のコンテキストから機密情報や独自情報を自動的に盗み出すことができます」と AIM Security は説明しています。
これは、研究者が「LLMスコープ違反」と呼ぶものによって可能になります。簡単に言えば、この脆弱性は、OpenAIのGPTモデルに基づくCopilotの基盤となるAIを欺き、一見普通のメールに隠された悪意のある指示を読み取ってユーザーの個人情報を抜き取らせます。
攻撃の仕組み
研究者らは、マイクロソフトの既存の保護を回避する詳細な複数部構成の攻撃チェーンを明らかにした。
- XPIAバイパス: Microsoftは、悪意のあるメッセージを識別するために、XPIA分類子と呼ばれるフィルターを使用しています。しかし、攻撃者は、AIではなく人間を対象としているように聞こえる平易で技術的な表現を使わないメールを作成することで、これらの保護を回避します。
- リンク編集の回避:通常、外部ウェブサイトへのリンクは削除されますが、AIM Securityは、編集を回避するMarkdownリンクトリックを発見しました。これらのリンクは、URLに機密情報を送り返します。
- 画像トリック: Copilot は、自動ブラウザ リクエストをトリガーする画像リンクを生成するように仕向けられ、ユーザーがクリックしなくてもデータが攻撃者に送信される可能性があります。
- Microsoft サービス経由の CSP バイパス: Microsoft では外部の画像をブロックするためのセキュリティ ルールを導入していますが、攻撃者は許可されたドメインである Microsoft Teams と SharePoint を介してデータをルーティングする方法を見つけています。
研究者らはまた、「RAGスプレー」と呼ばれる手法を用いて攻撃者が成功率を高める方法を発見しました。攻撃者は1通のメールを送信する代わりに、以下のいずれかの方法で攻撃を行います。
- 少しずつ文言を変えた短いメールをたくさん送る、または
- 特別に作成された非常に長い電子メールを 1 通送信し、AI システムによって小さなチャンクに分割します。
これにより、AI は通常の使用中に悪意のあるメッセージをより頻繁に取得するようになります。
1セムペリス
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
高度な攻撃検出、高度な自動化、どこからでも復旧など
2 ManageEngine Log360
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模企業(従業員数0~49名)、小規模企業(従業員数50~249名)、中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 小規模企業、小規模企業、中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティ監視、ブラックリスト、ダッシュボードなど
3グレイログ
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティモニタリング、ダッシュボード、通知
何が危険にさらされているのでしょうか?
設計上、Microsoft 365 Copilot は、電子メール、OneDrive ファイル、Teams チャット、内部 SharePoint ドキュメント、その他の関連データなど、幅広いビジネス データにアクセスできます。
Copilot は厳格な権限モデルに従うように構築されていますが、EchoLeak は Copilot がユーザーのプロンプトを解釈して応答する方法を操作することでこれを回避し、本質的に AI が公開すべきでない情報を公開するように仕向けます。
「『権限のない電子メール』は、権限のあるデータに関連付けるべきではない…特に、電子メールの理解が法学修士(LLM)によって仲介されている場合はなおさらだ」と研究者らは強調した。
マイクロソフトがCVE-2025-32711を確認し、軽減策を発表
マイクロソフトはこの問題を確認し、CVE-2025-32711 を割り当て、CVSS スコア 10 点満点中 9.3 で「緊急」と評価しました。マイクロソフト セキュリティ レスポンス センターは、この問題を「M365 Copilot の AI コマンド インジェクションにより、権限のない攻撃者がネットワーク経由で情報を漏洩できる」と公式に説明しています。
同社は、脆弱性は既に自社側で完全に軽減されているため、顧客による対応は不要だと述べた。また、マイクロソフトは責任ある情報開示を行ったAim Labsに感謝の意を表した。
今週の Patch Tuesday に関する TechRepublic のニュース記事をお読みください。Microsoft は、標的型スパイ活動に関するものも含め、68 件のセキュリティ上の欠陥を修正しました。
