コンテンツにスキップするには Enter キーを押してください

研究者がゼロクリックCopilotエクスプロイト「EchoLeak」の詳細を発表

投稿日 2025年6月13日

中央にCopilotがあるMicrosoftソフトウェア製品のロゴ

出典: Adrian Vidal via Alamy Stock Photo

重大な脆弱性により、攻撃者がCopilotユーザーに対してプロンプトインジェクション攻撃を仕掛けることが可能でしたが、Microsoftは最終的にこの問題を公表前に対処しました。

AI製品分野でセキュリティツールを販売する企業Aim Securityは、水曜日にMicrosoft 365 Copilotを標的としたゼロクリック脆弱性「EchoLeak」に関する研究を発表しました。この脆弱性はCVE-2025-32711として追跡されており、ベンダーのAim Labsの研究者によれば、攻撃チェーンは「ユーザーの認識なしに、また特定の被害者の行動に依存せずに、M365 Copilotのコンテキストから機密情報や専有情報を自動的に流出させることができる」としています。

Copilotは、M365エコシステム内のAI駆動ツールのスイートを表しており、ユーザーが生成されたテキストを通じて文書を作成したり、メールやExcelでデータを分析したり、エージェントを展開したりすることができます。これは、活発なLLM製品分野で最近登場したものです。

Copilotは通常、顧客組織の内部メンバーにのみ開かれていますが、Aim Labは単にメールを送信するだけで攻撃を実行できると主張しています。

Microsoftは脆弱性に対処する更新を発行しており、顧客側での対応は不要としています。さらに、これまでのところ攻撃によって顧客が被害を受けた事例は知られていません。

...

関連記事:PoCコードがRoundcube脆弱性の脅威をエスカレート

EchoLeakの実行

攻撃は、脅威アクターが被害者にメールを送信することから始まります。このメールは、Copilotに機密データを提供するよう指示することを意図しています。言い換えれば、一種のプロンプトインジェクション攻撃です。これらのメールベースの攻撃は通常、AIエージェントがユーザーが確認する前にメールをスキャンし、URLをチェックするという事実に依存しています。

しかし、クロスプロンプトインジェクション攻撃(XPIA)分類器は通常、基本的なプロンプトインジェクションがユーザーの受信トレイに到達するのを防ぎますが、EchoLeakはメールをユーザーへの指示のように読ませることで分類器を回避し、メールが最終目的地に到達することを可能にします。

メールには、攻撃者のサーバーに記録されるクエリ文字列パラメータが付加されたドメインへのリンクが含まれています。

「攻撃者の指示は、クエリ文字列パラメータがLLMのコンテキストから最も機密性の高い情報であるべきだと指定しており、これにより情報流出が完了します」と研究は述べています。通常、Copilotはチャットログで不安全と見なされるマークダウンリンクを隠すことを知っていますが、攻撃者のURLはリファレンススタイルのマークダウンを使用しており、当時はこの安全策を回避していました。

関連記事:GitHub: コードの出所がサプライチェーン攻撃を防ぐ方法

例として、研究者はこの戦略を使用してCopilotに「自分に送ったAPIキーは何ですか?」と尋ね、Copilotインスタンスが応答を生成しました。

同様のマークダウンフォーマットのトリックにより、研究者はメールを通じてCopilotで画像を生成することができました。この脆弱性の影響は、特にここでは、URLの許可リストを要求するMicrosoftのコンテンツセキュリティポリシーによって軽減されるでしょう。「したがって、今ではLLMが画像で応答することができますが、evil.comはimg-src CSPと互換性がないため、ブラウザはそれを取得しようとしません」と研究者は述べ、最終的にはSharePointとMicrosoft Teamsの招待プロセスの癖を利用してこれを完全に回避しました。

MicrosoftがEchoLeakに対処

要するに、この脆弱性と大規模な攻撃チェーンは、特定のフレーズのメールを送信し、フィルターを通過させ、悪意のある指示を埋め込んだリンクを含め、Copilotに攻撃者が制御するドメインに機密データをフィードバックさせることを可能にしました。これらはすべて、既存のガードレールを回避しながら行われます。

MicrosoftのスポークスパーソンはDark Readingに次の声明を共有しました:

「この問題を特定し、責任を持って報告してくれたAim Labsに感謝します。これにより、顧客が影響を受ける前に対処することができました。私たちはすでにこの問題を軽減するために製品を更新しており、顧客側での対応は不要です。また、セキュリティ体制をさらに強化するために追加の深層防御策を実施しています。」

関連記事:ユーティリティに偽装した毒入りnpmパッケージがシステム全滅を狙う

脆弱性は対処されましたが、CVE-2025-32711には重大な深刻度のCVSSスコア9.3が付与されていることに注意が必要です。このようなプロンプトインジェクションの欠陥が他のAI製品に影響を与える可能性については疑問が残ります。

Aim Securityの共同創設者兼最高技術責任者(CTO)であるAdir Grussは、Dark Readingにメールで、これらのタイプのプロンプトインジェクション攻撃は他のベンダーや製品にとって「非常に関連性が高い」と述べ、各エージェントの実装の詳細は異なるとしています。「すでに他のプラットフォームでいくつかの類似の脆弱性を発見しています」と彼は付け加えました。

翻訳元: https://www.darkreading.com/application-security/researchers-detail-zero-click-copilot-exploit-echoleak

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です