TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

Microsoft 365 Copilot:新たなゼロクリックAI脆弱性により企業データの窃取が可能に

世界初として、Aim Labsの研究者らがMicrosoft 365 Copilotにおける重大なゼロクリック脆弱性を特定しました。これは、単純なメール1通で機密性の高い企業データの流出につながる可能性があります。

「EchoLeak」と名付けられたこの脆弱性は、Retrieval Augmented Generation(RAG)Copilotに典型的な設計上の欠陥を悪用し、特定のユーザー行動に依存することなく、攻撃者がM365 Copilotのコンテキスト内のあらゆるデータを自動的に流出させられるようにします。

これは、Aim Labsの研究者が「Large language model(LLM)Scope Violation」と呼ばれる新しい悪用手法を用いている最中に発見されました。

研究者によれば、これはこれまでに発見された初のゼロクリックAI脆弱性であり、調査結果を共有した6月11日付のレポートで明らかにされています。

Aim Labsは2025年1月にこの欠陥についてMicrosoftに連絡しました。テック大手は2025年5月に当該脆弱性のパッチを最終化しました。

Microsoft 365 CopilotがRAGとLLMをどのように利用しているか

Microsoft 365 Copilotは、Word、Excel、PowerPoint、Outlook、Teamsなどのアプリと統合するAI搭載の生産性向上ツールです。LLM(大規模言語モデル)—具体的にはOpenAIのGPTモデル—とMicrosoft Graphを利用して応答をパーソナライズし、文書の下書き、メールの要約、プレゼンテーションの生成といった機能を提供します。

より正確には、Microsoft 365 CopilotはRAGを利用しています。これは、LLMが新しい情報を取得して取り込めるようにする手法です。

「この機能を提供するために、M365 CopilotはMicrosoft Graphにクエリを投げ、ユーザーの組織環境から関連情報を取得します。これには、メールボックス、OneDriveストレージ、M365 Officeファイル、社内SharePointサイト、Microsoft Teamsのチャット履歴が含まれます」とAim Labsのレポートは説明しています。「Copilotの権限モデルにより、ユーザーは自分自身のファイルにのみアクセスできるようになっていますが、これらのファイルには機密情報、専有情報、またはコンプライアンス関連情報が含まれている可能性があります!」

LLM Scope Violation

M365 Copilotのテスト中、Aim Labsの研究者らは新しい種類の間接的プロンプトインジェクション(OWASPの「LLMアプリケーション向けTop 10」ではLLM01として追跡)を実施し、これを「LLM Scope Violation」と呼びました。

この手法は、ユーザーの同意なしにLLMが信頼されたデータへアクセスできるようにすることを目的としています。攻撃者が複数の手順を実行し、さまざまなセキュリティ対策を回避して、LLMに悪意あるプロンプトを注入します。

以下は攻撃チェーンの手順ごとの内訳です:

  1. XPIAバイパス:攻撃者は、Copilotの基盤となるLLMをトリガーするはずの指示(特定のMarkdown構文)を含むメールを送信しますが、その指示がメールの受信者に向けられているかのように文面を整えることで、Microsoftのクロス・プロンプトインジェクション攻撃(XPIA)分類器を回避します
  2. リンクのリダクション回避:攻撃者はCopilotに機密性の高い企業情報を要求し、参照形式のMarkdownリンクを用いてMarkdownリンク内にそれを含めることで流出させようとします。これによりリンクのリダクション(マスキング)に関するセキュリティ対策を回避します
  3. 画像のリダクション回避:ユーザーにリンクをクリックさせることなく流出を自動化するため、攻撃者は参照形式のMarkdown画像を用い、機密情報を画像URLのクエリ文字列パラメータとして付加した画像をCopilotに出力させようとしました。これにより画像のリダクション(マスキング)に関するセキュリティ対策を回避します
  4. CSPバイパス:ブラウザのContent-Security-Policy(CSP)は、許可されていないドメインからの画像取得を制限し、画像URL経由での流出を防ぎます。これを回避するため、攻撃者はCSPで許可されているドメインを調査し、特にSharePointとMicrosoft Teamsに注目しました
EchoLeak attack flow. Source: Aim Labs
EchoLeakの攻撃フロー。出典:Aim Labs

RAGアプリとAIエージェントに共通する設計上の欠陥

Aim Labsの研究者らは、この一連の脆弱性チェーンを「EchoLeak」と名付けました。そこには従来型の脆弱性と、中心にあるAI脆弱性の両方が含まれています。

「これは、敵対者によって武器化され得る、LLMアプリケーションに対する新規の実用的攻撃です。この攻撃の結果、攻撃者は現在のLLMコンテキストから最も機密性の高いデータを流出させられるようになります。そして、LLMは自分自身に対して用いられ、LLMコンテキストから『最も』機密性の高いデータが確実に漏えいするようにされます。特定のユーザー行動に依存せず、単発の会話でも複数ターンの会話でも実行可能です」と彼らは結論づけました。

彼らはこの手法をM365 Copilotに適用しましたが、他のRAGアプリケーションやAIエージェントでも機能すると評価しました。

翻訳元: https://www.infosecurity-magazine.com/news/microsoft-365-copilot-zeroclick-ai/

ソース: infosecurity-magazine.com
#Content Security Policy(CSP) #EchoLeak #LLM Scope Violation #Microsoft 365 Copilot #Microsoft Graph #OWASP Top 10 for LLM Applications #RAG(検索拡張生成) #ゼロクリック脆弱性 #プロンプトインジェクション #企業データ流出

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新