Microsoft 365 CopilotでゼロクリックのAIデータ漏洩脆弱性が発見される(CVE-2025-32711)

Security

記事本文(要約)

新たに発見された攻撃「EchoLeak」は、ユーザーの介入なしにMicrosoft 365 Copilotから機密データを抽出するゼロクリックAI脆弱性です。この攻撃はAim Labsの研究者によって2025年1月に考案され、Microsoftに報告されました。Microsoftはこの情報漏洩の欠陥にCVE-2025-32711という識別子を付与し、クリティカルと評価してサーバー側で修正しました。そのため、ユーザーによる対策は不要です。また、実際の攻撃は確認されておらず、顧客に影響はありませんでした。

EchoLeakは、大規模言語モデル(LLM)の新しい脆弱性カテゴリー「LLMスコープ違反」を示すもので、ユーザーの意図や介入なしに機密データを漏洩させる可能性があります。この攻撃は、LLMがフォーマットされたメールから機密データを取り出してリンクや画像に埋め込むことで機能します。

エンタープライズ環境では、プロンプト注入フィルターの強化や、入力スコープの細分化、LLM出力に対する外部リンクや構造データのブロックの実施が重要です。また、RAGエンジンを設定して外部通信を排除し、悪意あるプロンプトの取得を避けることも必要です。

※この要約はChatGPTを使用して生成されました。

公開日: Wed, 11 Jun 2025 13:48:50 -0400

Original URL: https://www.bleepingcomputer.com/news/security/zero-click-ai-data-leak-flaw-uncovered-in-microsoft-365-copilot/

詳細な技術情報

以下に、提供された「EchoLeak」という攻撃について、セキュリティに関する重要な詳細情報を説明します。

CVE番号:

  • CVE-2025-32711

脆弱性の仕組み:

  • EchoLeakは、ゼロクリックAI脆弱性として分類され、Microsoft 365 Copilotからユーザーのコンテキストを介して敏感なデータを抽出するために悪用されます。この脆弱性は「LLM Scope Violation」という新しい脆弱性のクラスに属し、大規模言語モデル(LLM)がユーザーの意図や操作なしに機密内部データを漏洩する原因となります。

攻撃手法:

  1. 初期攻撃: 攻撃者は、標的に対し、Copilotとは無関係の内容を含んだ、形式的には典型的な企業のビジネス文書を装った悪意のあるメールを送信します。
  2. プロンプト挿入: このメールには隠されたプロンプト挿入が埋め込まれており、LLMに対して敏感な内部データを抽出し送信するよう指示します。このプロンプトは、人間に送られた通常のメッセージのように構成されているため、MicrosoftのXPIA(クロスプロンプト挿入攻撃)分類器を回避します。
  3. RAGエンジン: 後にユーザーがCopilotへ関連するビジネス質問をする際、Retrieval-Augmented Generation(RAG)エンジンにより、メールがLLMの文脈内に取り込まれます。
  4. データ漏洩: プロンプト挿入がLLMに到達すると、内部データを抽出し、特定のリンクや画像に仕立てた形で外部に送信します。
  5. データ送信の方法: 一部のマークダウン画像形式により、ブラウザが画像をリクエストする際に攻撃者のサーバーに組み込まれたデータを含んだURLが自動的に送信されます。

潜在的な影響:

  • この脆弱性により、エンタープライズ環境において自動化された静かなデータ流出が可能になります。AIを統合したシステムに対して大きな危険性を持ち、高い影響を与える攻撃が発生する可能性があります。

推奨される対策:

  1. プロンプト挿入フィルターの強化: 企業はプロンプト挿入を検出しブロックするフィルターを強化すべきです。
  2. 入力の範囲設定: 詳細な入力スコープを実装して、許可されたコンテキスト内の情報のみが使用されるようにします。
  3. 出力のフィルタリング: LLMからの出力に対してポストプロセッシングフィルターを適用し、外部リンクや構造化データを含む応答をブロックします。
  4. RAGエンジンの設定: 外部通信を除外するようにRAGエンジンを設定し、悪意のあるプロンプトの取得を防ぎます。