記事本文(要約)
AIセキュリティ企業のAim Securityは、Microsoft 365 Copilotが「EchoLeak」と名付けられたゼロクリック攻撃手法の脆弱性(CVE-2025-32711)に対して脆弱であったことを報告しました。この攻撃により、ユーザーの介入なしに機密情報が攻撃者に流出する可能性がありました。Microsoftはこの脆弱性を「M365 CopilotにおけるAIコマンドインジェクション」として「クリティカル」と分類し、サーバー側での修正が行われ顧客側での対応は不要としています。
EchoLeak攻撃は特定のメールを送信することにより発動し、ユーザーが関連する情報をCopilotに尋ねた際に、過去のチャットから機密情報を収集し攻撃者に送信するように仕向けます。この攻撃はクロスプロンプトインジェクション攻撃(XPIA)のフィルターを突破するよう設計され、画像やリンクの修正メカニズムやコンテンツセキュリティポリシー(CSP)も回避します。
Aim Securityは、MicrosoftのCopilotに対するこの攻撃手法が他のAIアプリケーションにも対しても有効である可能性があると指摘しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 12 Jun 2025 11:06:26 +0000
Original URL: https://www.securityweek.com/echoleak-ai-attack-enabled-theft-of-sensitive-data-via-microsoft-365-copilot/
詳細な技術情報
以下は、提供された文章の分析結果です。
CVE番号
- CVE-2025-32711: この番号で追跡される脆弱性は、Microsoft 365 Copilotにおける重要な弱点を示しています。
脆弱性の仕組み
- AIコマンドインジェクション: この脆弱性は、AIアシスタントであるCopilotが攻撃者によって構築された指示を受け取ってしまうAIコマンドインジェクションの形態として分類されています。特に、被害者やその組織の機密情報がユーザーの操作なしに自動的に漏洩されるリスクがあります。
攻撃手法
- ゼロクリック攻撃(EchoLeak): 攻撃者は特別に構築されたメールをターゲットに送り、そのメール内にCopilotへの指示を含めています。被害者はそのメールを開く必要はなく、ただCopilotに通常の質問をするだけで、Copilotがメール内の指示を実行し、攻撃者のサーバーに情報を送信する仕組みです。攻撃者は、クロスプロンプトインジェクション攻撃(XPIA)分類子を回避し、画像やリンクの編集メカニズムおよびコンテンツセキュリティポリシー(CSP)を突破する形で攻撃を実行します。
潜在的な影響
- 機密情報の漏洩: Copilotがメールの内容に基づいて情報を収集し、それを攻撃者に送信するため、機密性の高い情報(例:人事ガイド、休暇管理ガイド等)が外部に漏洩する可能性があります。これは、ユーザーの行動に依存せず、単一および複数回の対話で実行可能なため、特に危険です。
推奨される対策
- パッチ適用: Microsoftはサーバーサイドでの修正を行ったと通知しており、ユーザー側での追加のアクションは不要です。ただし、常に最新のセキュリティパッチを適用するように心がけることが重要です。
- 安全なメールフィルタリング: 組織はメールの内容を厳格にフィルタリングし、潜在的に危険なメールを識別してブロックする仕組みを強化すべきです。
- 社員教育: AIアシスタント利用に関するリスクや対策について社員教育を行い、不審な活動が疑われる場合には報告するよう促します。
- AI利用の監視強化: AIアシスタントがどのような命令や要求に従っているかを監視する仕組みを導入し、異常動作を早期に発見することでリスクを軽減します。
