Aim Securityは6月11日(現地時間)、「Aim Labs|Echoleak Blogpost」において、Microsoft 365 Copilot(以下、M365 Copilot)から初のゼロクリックAI脆弱性を発見したと報じた。この脆弱性を悪用すると秘密裏に企業の機密情報を窃取できるとされる。

  • Aim Labs|Echoleak Blogpost

    Aim Labs|Echoleak Blogpost

脆弱性の概要

Aim Securityは発見した脆弱性を「EchoLeak」と名付け、その詳細をMicrosoftに報告している。報告を受けたMicrosoftは共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)に「CVE-2025-32711」(CVSSスコア: 9.3)を割り当て、脆弱性の存在を認めている。

EchoLeakはM365 Copilotに内包された検索拡張生成(RAG: Retrieval Augmented Generation)技術の設計上の欠陥を悪用する脆弱性とされる。

M365 CopilotはMicrosoft Graphにアクセスし、ユーザーの組織環境から情報(メール、OneDrive、Officeファイル、SharePoint、Teamsの履歴など)を取得して回答を生成する。そのユーザーコンテキスト(AIとの会話履歴)には組織の機密情報が含まれている可能性が高く、EchoLeakはこれを抽出することで機密情報を窃取する。

EchoLeakの攻撃手順は次のとおり。

  • 受信者への要求に見える大規模言語モデル(LLM: Large Language Model)への指示をメールで送信する。通常はクロスドメインプロンプトインジェクション攻撃(XPIA: Cross-domain Prompt Injected Attack)を防ぐ分類器によって大規模言語モデルへの指示は阻止されるが、細工することでバイパス可能とされる
  • 攻撃者はLLMが抽出した機密情報を外部アクセスによって流出させる必要がある。M365 Copilotは安全策として回答から外部リンクを削除するが、マークダウンの参照リンクは無視することを利用する。このときマークダウンに画像ファイル(感嘆符)を指定すると、ユーザー操作なしでアクセスさせることができる
  • セキュリティポリシーが設定されている場合、外部へのアクセスはフィルターによって阻止される。この問題については、Microsoftが所有するドメインへのアクセスが許可されることを利用する。具体的にはTeamsの特定のURLにアクセスさせ、情報を流出させる
  • EchoLeakの攻撃フロー - 引用:Aim Security

    EchoLeakの攻撃フロー 引用:Aim Security

影響と対策

M365 Copilotをデフォルト設定で利用していた顧客は、この脆弱性の危険にさらされた可能性が高いという。影響を受けた場合はコンテキストすべてを漏洩する可能性があると評価されているが、幸いなことに影響を受けた顧客は存在しないとされる。

Microsoftは6月11日(米国時間)、「CVE-2025-32711 - セキュリティ更新プログラム ガイド - Microsoft - M365 Copilot の情報漏えいの脆弱性」において、この脆弱性に関する情報を公開し、脆弱性に対する緩和策を実施したと発表した。ユーザーによる対策は不要としている。

Aim Securityは今回発見した検索拡張生成に関する問題について、他のAIエージェントやAIアプリケーションにも存在し、既存のガードレールでは軽減できないと説明している。同社は専用の対策が必要だと述べており、AI開発企業には調査および対策の実施が望まれている。