- Microsoft 365 CopilotでゼロクリックによるAI攻撃が可能な脆弱性「EchoLeak」が発見されました
- 悪意のあるメールを通じてTeamsチャットやメールなどの機密データが漏洩する可能性がありました
- Microsoftは実際の被害が発生する前にサーバー側で修正を完了しています
SEOの常識を覆す
AIライティングエージェント
プロフェッショナルの業務フローを完全再現するAIの活用で、飛躍的な品質向上とコストダウンの両立。「magicss」でAI時代のSEO&AIOを実現してみませんか?
今なら 1記事無料で生成可能(カード登録不要)
最短3分で無料体験する史上初のゼロクリックAI攻撃「EchoLeak」の発見
セキュリティ研究者らが、Microsoft 365 Copilotに対する史上初のゼロクリック型AI攻撃を可能にする重大な脆弱性「EchoLeak」(CVE-2025-32711)を発見しました[1]。この脆弱性は、ユーザーが何もクリックすることなく、特別に細工されたメールを受信するだけで機密データの漏洩が発生する可能性があるという、これまでにない新しいタイプの攻撃手法です[3]。
EchoLeakは、CVSS(Common Vulnerability Scoring System)で9.3という極めて高い危険度スコアが付けられており、Microsoft 365環境内のメール、Teamsチャット、SharePointドキュメントなどの機密情報にアクセスできる可能性がありました[2]。攻撃者は、LLM(大規模言語モデル)のスコープ違反を悪用し、Copilotのセキュリティ制御を迂回することで、本来アクセスできないはずのデータにアクセスできる状態を作り出していました[7]。
この脆弱性の発見は、AI時代における新たなセキュリティリスクの幕開けを意味します。従来のソフトウェア脆弱性とは異なり、AIシステムは人間の言語を理解し、複雑な指示に従って動作するため、攻撃者は「自然言語による命令注入」という全く新しい攻撃手法を使用できるようになりました。これは、まるで人間の秘書に対して巧妙な嘘をついて機密情報を聞き出すような攻撃が、デジタル空間で自動化されたようなものです。企業がAIアシスタントを導入する際は、従来のセキュリティ対策だけでなく、AI特有のリスクも考慮する必要があることが明確になりました。
攻撃メカニズムの詳細分析
EchoLeakの攻撃手法は、Markdownの参照構文を悪用してCopilotのセキュリティフィルターを迂回するという巧妙なものでした[6]。攻撃者は、一見無害に見えるメールに特別な指示を埋め込み、CopilotのRAG(Retrieval-Augmented Generation)エンジンを操作して、機密データを外部のサーバーに送信させることができました[4]。
特に問題となったのは、CopilotがTeamsやSharePointなどのMicrosoft内部ドメインを信頼していたことです[5]。攻撃者はこの信頼関係を悪用し、これらのドメイン内のオープンリダイレクト機能を利用して、データを外部に漏洩させる経路を確立していました。また、XPIAクラシファイアーやリンク編集フィルターなどの既存のセキュリティ機能も、この新しい攻撃手法の前では無力でした[2]。
この攻撃の巧妙さは、AIシステムの「善意」を逆手に取った点にあります。Copilotは本来、ユーザーの業務を支援するために設計されており、受信したメールの内容を理解し、適切に処理しようとします。しかし、攻撃者はこの「親切さ」を悪用し、「このデータを確認のために外部サーバーに送信してください」といった指示を巧妙に隠すことで、AIに悪意のある行動を取らせました。これは、人間でいえば「良かれと思って」機密情報を漏らしてしまうような状況に似ています。従来のマルウェアのように明確に悪意のあるコードを実行するのではなく、AIの正常な機能を悪用する点が、この新しい攻撃手法の特徴といえるでしょう。
Microsoftの対応と修正措置
Microsoftは2025年5月にこの脆弱性の報告を受け、実際の攻撃が発生する前にサーバー側での修正を完了しました[1]。同社は、この脆弱性が実際に悪用された証拠は見つかっておらず、顧客への影響はなかったと発表しています[4]。修正には、RAGエンジンのフィルター強化、CSP(Content Security Policy)ルールの調整、Markdownの処理方法の改善などが含まれています[6]。
また、企業がこのような攻撃から身を守るための追加的な対策として、DLP(Data Loss Prevention)タグの活用やメール処理の制限などが推奨されています[7]。ただし、これらの対策はCopilotの機能性に影響を与える可能性があるため、セキュリティと利便性のバランスを慎重に検討する必要があります。
Microsoftの迅速な対応は評価できますが、この事件は企業のAI導入戦略に重要な示唆を与えています。AI技術の急速な普及により、従来のセキュリティモデルでは対応できない新しいリスクが次々と現れています。企業は、AIの利便性を享受する一方で、「AIが騙される可能性」という新しいリスクカテゴリーを認識し、対策を講じる必要があります。これは、従業員に対するフィッシング詐欺対策と同様に、AIシステムに対する「騙し攻撃」への対策が必要になったことを意味します。今後、AI セキュリティは独立した専門分野として発展していく可能性が高く、企業はこの分野への投資を検討すべき時期に来ています。
AI時代の新たなセキュリティ課題
EchoLeakの発見は、AI エージェントが企業環境に広く導入される中で、従来のサイバーセキュリティの枠組みを超えた新しい脅威が現実のものとなったことを示しています[3]。この脆弱性は、単にMicrosoft 365 Copilotに限定された問題ではなく、LLMを基盤とする他のAIシステムにも同様のリスクが存在する可能性を示唆しています[7]。
セキュリティ専門家らは、今回の事件を「AIセキュリティの新時代の始まり」と位置づけており、企業はAI導入に際してこれまでとは異なる視点でのリスク評価が必要になると警告しています[1]。特に、AIシステムが持つ「自律性」と「学習能力」が、新しい攻撃ベクトルを生み出す可能性があることを認識し、適切な対策を講じることが重要です。
参考文献
- [1] Critical flaw in Microsoft Copilot could have allowed zero-click attack
- [2] Microsoft 365 Copilot ‘zero-click’ vulnerability enabled data exfiltration
- [3] New Microsoft Copilot flaw signals broader risk of AI agents
- [4] Zero-click AI data leak flaw uncovered in Microsoft 365 Copilot
- [5] Aim Security details first known AI zero-click exploit targeting Microsoft 365 Copilot
- [6] Breaking down ‘EchoLeak’, the First Zero-Click AI Vulnerability Enabling Data Exfiltration from Microsoft 365 Copilot
- [7] Aim Labs | Echoleak Blogpost
- [8] Ai command injection in M365 Copilot allows an…
*この記事は生成AIを活用しています。*細心の注意を払っていますが、情報には誤りがある可能性があります。
