Last Updated on 2025-06-13 08:41 by admin
2025年6月12日、イスラエルのセキュリティ企業Aim SecurityのAim Labsが、Microsoft 365 Copilotに存在する世界初のゼロクリックAI脆弱性「EchoLeak」(CVE-2025-32711)の詳細を公開した。
この脆弱性は2025年1月に発見され、CVSSスコア9.3の重要度「クリティカル」に分類される。
攻撃者が特別に作成したメールを送信するだけで、ユーザーの操作なしにCopilotから機密情報を自動的に流出させることが可能だった。
攻撃は「LLMスコープ違反」と呼ばれる新しい手法を利用し、RAG(検索拡張生成)システムの構造的弱点を悪用する。
流出対象にはチャット履歴、OneDriveドキュメント、SharePointコンテンツ、Teamsの会話、組織の事前読み込みデータが含まれる。Microsoftは2025年5月にサーバー側で修正を実装済みで、顧客による対応は不要であり、実際の悪用事例は報告されていない。
From: 
Researchers Detail Zero-Click Copilot Exploit ‘EchoLeak’
【編集部解説】
EchoLeakが特に注目すべき点は、従来のサイバー攻撃とは根本的に異なるアプローチを取っていることです。これまでの攻撃手法は主にソフトウェアの脆弱性やユーザーの操作ミスを狙ったものでしたが、EchoLeakはAIシステムの「理解」そのものを悪用します。
具体的には、RAG(Retrieval-Augmented Generation)エンジンの動作原理を逆手に取った攻撃です。RAGは外部データソースから情報を取得してLLMの回答精度を向上させる技術ですが、この仕組みが信頼境界を曖昧にしてしまう構造的な問題を抱えています。
攻撃の巧妙さと技術的革新性
研究者らが開発した「RAGスプレー」技術は特に革新的です。これは悪意のあるメールが検索される確率を高めるため、複数のトピック関連セクションを含む手法で、従来のセキュリティ対策では検知が困難な新しいアプローチといえます。
また、Microsoft Teamsのインフラストラクチャ「eu-prod.asyncgw.teams.microsoft.com/urlp/v1/url/content」を経由してCSP制限を回避する手法は、正当なサービスを悪用する高度な技術力を示しています。
Microsoftの初期対応と認識の変化
興味深いのは、Microsoftが当初この脆弱性を「低重要度」と分類していた点です。しかし、Aim Labsによる詳細なデモンストレーションを受けて、最終的に「クリティカル」レベルに再評価されました。これは新しいタイプの脅威に対する理解の進化を示しています。
業界への波及効果と長期的影響
Aim SecurityのCTO Adir Gruss氏が指摘するように、この脆弱性は他のAIプラットフォームにも存在する可能性が高く、実際に同社は既に複数のプラットフォームで類似の脆弱性を発見したと報告しています。これは業界全体でのセキュリティ見直しが必要であることを示唆しています。
規制・ガバナンスへの影響
CVSSスコア9.3という最高レベルの危険度評価は、AI技術のセキュリティ基準策定において重要な指標となるでしょう。特に企業向けAIサービスの導入において、従来のネットワークセキュリティとは異なる新たなリスク評価フレームワークの必要性が浮き彫りになりました。
ポジティブな側面
一方で、この発見は責任ある脆弱性開示の好例でもあります。Aim Securityが発見後は適切にMicrosoftに報告し、実害が発生する前に修正が完了した点は評価すべきでしょう。
将来への示唆
EchoLeakは1990年代のソフトウェア脆弱性に匹敵する根本的な設計上の問題を露呈させました。今後のAIエージェント開発においては、単純な入力検証だけでなく、コンテキスト境界の明確化や信頼レベルの階層化など、より高度なセキュリティアーキテクチャが求められることになります。
この事案は、AI技術の急速な普及と並行して、新たなセキュリティパラダイムの構築が急務であることを改めて示しています。
【用語解説】
プロンプトインジェクション攻撃
AIシステムに対して悪意のある指示を含む入力を送り込み、意図しない動作や情報漏洩を引き起こす攻撃手法。OWASP Top 10 for LLM Applications 2025で重要なセキュリティリスクとして分類されている。
RAG(Retrieval-Augmented Generation)
外部データソースから情報を取得してLLMの回答精度を向上させる技術。検索拡張生成と呼ばれ、Microsoft 365 Copilotの中核技術として使用されている。
CVE-2025-32711
EchoLeakに割り当てられた脆弱性識別番号。CVSSスコア9.3の重要度「クリティカル」に分類され、Microsoftによる修正済みの脆弱性である。
LLMスコープ違反(LLM Scope Violation)
外部からの信頼できない入力によってAIモデルが操作され、特権データにアクセスして情報を盗み出される新しい攻撃手法。EchoLeakで初めて実証された概念。
XPIA(Cross/Indirect Prompt Injection Attack)
Microsoftが使用するプロンプトインジェクション攻撃の分類器。間接的なプロンプトインジェクション攻撃を検知・防止する仕組み。
CSP(Content Security Policy)
Webブラウザのセキュリティ機能で、信頼できないドメインへのリクエストを制限する。EchoLeakではMicrosoft TeamsやSharePointの信頼されたドメインを悪用してこの制限を回避した。
RAGスプレー
Aim Labsが開発した攻撃技術。悪意のあるメールが検索される確率を高めるため、複数のトピック関連セクションを含む手法。
【参考リンク】
Microsoft 365 Copilot公式サイト(外部)
Microsoftが提供するAI搭載生産性向上ツール。Office統合AIアシスタント機能
Aim Security公式サイト(外部)
AIセキュリティプラットフォーム企業。EchoLeak発見のAim Labs親会社
Aim Labs EchoLeak研究ページ(外部)
EchoLeak脆弱性の詳細な技術解説と攻撃手法、対策方法の公式発表
Microsoft Security Advisory CVE-2025-32711(外部)
Microsoftが公開したEchoLeak脆弱性の公式セキュリティアドバイザリ
【参考動画】
【参考記事】
CVE-2025-32711 Vulnerability: “EchoLeak” Flaw in Microsoft 365(外部)
SOC Primeによる詳細技術解析。LLMスコープ違反の概念と攻撃手法解説
Critical flaw in Microsoft Copilot could have allowed zero-click attack(外部)
Cybersecurity Dive詳細報道。Aim SecurityのCTO Adir Gruss氏コメント含む
Zero-Click AI Vulnerability Exposes Microsoft 365 Copilot Data(外部)
The Hacker News技術解説。LLMスコープ違反の概念と攻撃チェーン詳述
【編集部後記】
EchoLeakの発見は、私たちが日常的に使用するAIツールの新たなリスクを浮き彫りにしました。
皆さんの職場でもMicrosoft 365 CopilotやChatGPT、Claude等のAIアシスタントを活用されているのではないでしょうか。
これらのツールに機密情報をどこまで委ねるべきか、また組織としてどのようなガイドラインを設けるべきか、ぜひ一度チームで話し合ってみてください。AIの恩恵を最大化しながらリスクを最小化する、そのバランスについて皆さんはどうお考えでしょうか。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
