Varonisのセキュリティアナリストは、MicrosoftのAIアシスタントを標的とする高度な攻撃手法「Reprompt」を公開しました。この手口により、攻撃者はユーザーのセッションを乗っ取り、機密性の高い個人データを密かに流出させることが可能になります。その後セキュリティ修正は展開されたものの、攻撃の根本的な仕組みは、Windowsおよびその周辺エコシステム全体にCopilotが広く統合されていることを踏まえると、深刻な懸念を呼び起こしています。
研究チームによれば、この侵入は、一見無害に見えるハイパーリンクの中に有害なプロンプトを隠し込むことを前提としています。ユーザーがリンクをクリックすると、Copilotが埋め込まれた命令を自律的に処理し、攻撃者に稼働中のAIセッションへのアクセスを与えます。この状態は、ブラウザのタブを閉じた後も持続します。Repromptは拡張機能や追加ユーティリティのインストールを必要とせず、単一のクリックだけで密かなデータ流出を実行できます。
主な脆弱性は、URL内の「q」パラメータを通じて命令を送信できる点にあり、Copilotはこれを正当なクエリとして解釈します。悪意ある命令が綿密に構成されている場合、AIはユーザーが気づかないままそれを実行します。ただし、安定したデータ漏えいを実現するには、単発の操作だけでは不十分です。この手法の考案者は、防御フィルターを回避し、Copilotと外部のコマンド&コントロール(C2)サーバーとの間に堅牢な双方向通信チャネルを確立するため、複数のアプローチを組み合わせました。
本研究は、攻撃者が正規のリソースを装ったリンクを送付するシナリオを示しています。ユーザーがリンクを開くと、AIは埋め込まれた指示を実行し、その後、攻撃者のサーバーからの追加命令を待機します。これら後続のリクエストは、初回のハンドシェイク後に送信されるため、クライアント側のセキュリティシステムからは見えません。
特定の戦術として「プロンプトの再送(再提出)」があり、これは主に初回入力を精査するよう調整されたCopilotの内部フィルターを回避するために用いられます。たとえば機密のパスフレーズを流出させるために、攻撃者はCopilotに同じ操作を繰り返させました。最初の試行は精査されたものの、2回目の反復では機密データの返却に成功しました。
Varonisチームは、この手法がAIからアクセス可能な通信内容やその他の個人テレメトリを、気づかれずに収集するために悪用できることを示しました。動画デモでは、悪意あるリンクを含む通常の電子メールから攻撃が開始される様子が示されています。リンクが開かれると、Copilotは指示を受け取り、その情報をリモートサーバーへ中継します。初回クエリのフォレンジック分析だけでは流出範囲を事前に特定できません。主要なペイロードが、その後にリモートノードから配信されるためです。
Microsoftは前年8月にこの脆弱性の報告を受けていましたが、正式な修正が配布されたのは、定例のセキュリティ更新の一部として1月14日になってからでした。現時点でRepromptが実環境で悪用されている証拠はありませんが、最新のWindows更新プログラムを直ちにインストールすることが強く推奨されます。
Varonisは、この欠陥が具体的には、Edgeブラウザーに統合された個人向けのCopilotおよびその他のコンシューマー製品に影響していたと強調しました。一方、Microsoft 365 Copilot(企業向け)は、Purviewによる監査、テナントレベルの制限、厳格なデータ損失防止(DLP)ポリシーなどの強固な管理機能により、影響を受けませんでした。
翻訳元: https://meterpreter.org/the-silent-listener-how-reprompt-hijacks-microsoft-copilot-with-one-click/
