Microsoftは、Microsoft 365 Copilotに存在したセキュリティ脆弱性を修正した。
この脆弱性は、研究者Adam Logue氏によって発見・報告されたものである。攻撃者は、JavaScriptベースの作図ツールMermaidダイアグラムとCSSを悪用した間接的プロンプトインジェクション攻撃により、AIアシスタントを騙してメール等の機密データを盗むことが可能であった。
Logue氏は概念実証として、偽のログインボタン経由でデータを自身のBurp Collaboratorサーバーへ送信させた。
Microsoftは問題を修正したが、M365 Copilotが報奨金プログラムの対象外であるため、Logue氏への支払いはなかった。
From: 
Sneaky Mermaid attack in Microsoft 365 Copilot steals data
【編集部解説】
発見されたのは「間接的プロンプトインジェクション」と呼ばれる攻撃手法です。これは、ユーザーがAIに直接指示するのではなく、AIが読み込む文書などの中に悪意のある命令を潜ませておく手口です。
具体的には、業務で広く使われている作図ツール「Mermaid」の機能が悪用されました。攻撃者は、文書内に隠した命令(プロンプト)によって、Copilotにユーザーのメール情報を盗み出させ、その内容を偽のボタンを通じて外部のサーバーに送信させていたのです。これは、便利な機能連携が、予期せぬセキュリティホールを生み出す危険性を示唆しています。
この事件が示すのは、Copilotのような生成AIアシスタントが、私たちのメールや社内文書といった機密情報へアクセスできる「特権」を持っているという事実の重みです。AIが便利になればなるほど、一度悪用された際の被害は甚大になります。今回のケースは一個の脆弱性として修正されましたが、これは氷山の一角に過ぎない可能性も考えられます。
一方で、こうした脆弱性の発見と修正のサイクルは、新しいテクノロジーが成熟していく上で不可欠なプロセスです。研究者が脆弱性を責任をもって報告し、開発者であるMicrosoftが迅速に対応した点は、業界全体にとってポジティブな動きと言えるでしょう。この一件は、今後のAI開発において、より高度なセキュリティ対策や、脆弱性報奨金制度の対象範囲拡大といった議論を加速させるきっかけになるはずです。
私たちユーザーも、AIは完璧な存在ではないことを理解し、その仕組みや潜在的なリスクに関心を持つことが重要です。テクノロジーの進化の恩恵を安全に享受するためには、開発者とユーザー双方のリテラシー向上が求められています。未来の技術と安心して向き合うためにも、こうしたセキュリティの動向には、引き続き注目していく必要があるでしょう。
【用語解説】
プロンプトインジェクション
AIモデルに対して、開発者が意図しない不正な指示(プロンプト)を注入し、誤った動作を引き起こさせる攻撃手法である。ユーザーが直接指示する「直接的プロンプトインジェクション」と、AIが読み込む外部データに指示を埋め込む「間接的プロンプトインジェクション」がある。
CSS (Cascading Style Sheets)
ウェブページのスタイル(デザインやレイアウト)を指定するための言語である。文字の色や大きさ、背景、要素の配置などを定義するために使用される。
16進数エンコード
あらゆるデータを0から9の数字とAからFのアルファベットを組み合わせた16進数表現に変換することである。データをテキスト形式で安全に転送したり、内容を一時的に難読化したりする目的で使われる。
【参考リンク】
Microsoft 365 Copilot(外部)
Microsoftが提供するMicrosoft 365アプリ群に生成AIを統合したサービス。文章やデータ分析などをAIがアシストします。
translate:Mermaid(外部)
テキストやコードから図やチャートを生成するためのJavaScriptベースの作図ツール。簡単な構文で動的に図を作成できます。
Adam Logue氏(外部)
今回の脆弱性を発見したセキュリティ研究者。バグバウンティハンターやペネトレーションテスターとして活動しています。
Burp Collaborator(外部)
ウェブアプリのセキュリティテストツール「Burp Suite」の機能の一つ。外部通信を監視し、見えない脆弱性を検出するために使用されます。
【参考動画】
【参考記事】
Microsoft 365 Copilot Flaw Lets Hackers Steal Sensitive Data(外部)
研究者Adam Logue氏が発見したM365 Copilotの脆弱性について解説。攻撃手口の詳細を説明しています。
How Microsoft defends against indirect prompt injection attacks(外部)
Microsoft自身が間接的プロンプトインジェクション攻撃への防御策を解説した公式ブログ。多層的な防御戦略について説明しています。
【編集部後記】
今回のニュースは、AIの進化がもたらす光と影を象徴する出来事でした。便利なツールに潜む思わぬ落とし穴を、私たちはどう捉え、どう向き合えば良いのでしょうか。
皆さんの職場や普段の生活で、AIアシスタントをどのように活用されていますか?また、その便利さの裏側にあるリスクについて、考えたことはありますか?
テクノロジーをただ使うだけでなく、その仕組みや安全性について少しだけ目を向けることが、未来をより豊かに、そして安全にするための第一歩なのかもしれません。皆さんのご意見もぜひお聞かせください。
