マイクロソフトは先週火曜日、M365 Copilot AIプラットフォームにおける最大級の深刻度の脆弱性を静かに修正しました。この脆弱性は、セキュリティ企業Aim Securityによって発見され、攻撃者がCopilotがアクセス可能なメールから、単一の精心されたメッセージのみを使用して、2要素認証コードを含む機密データを盗み取ることを可能にしていました。
CVE-2025-32711として追跡され、「EchoLeak」と名付けられたこの脆弱性のCVSS深刻度スコアは10点満点中9.3でした。
EchoLeakの仕組み
この攻撃は、被害者が一切クリックする必要がありません。攻撃者は、Copilotによって処理されるとAIを騙して組織のデータ(メール、ドキュメント、チャット履歴など)を不正に転送させる悪意のあるメールを送信できます。Aim Securityがデモした概念実証攻撃では、Copilotが毒されたメッセージを要約したり操作したりするだけで、自動的にデータが盗まれることが示されました。
この攻撃は、Microsoftの既存の防御機構、つまりクロスプロンプトインジェクション分類器や外部リンクの削除を回避しました。
Aim Securityは2025年1月にこの脆弱性を発見し、Microsoftに責任を持って報告しました。Microsoftは2025年5月までにサーバーサイドの修正を適用し、顧客による任何の対応は必要ありませんでした。同社は、パッチが適用される前には、影響を受けた顧客や悪用の事例を一切認識していなかったことを確認しました。
脆弱性の公表は6月11日〜12日頃から徐々に明らかになり、研究者は月曜日に概念実証の攻撃手法を公開しました。
AIセキュリティにおける繰り返されるパターン
LLMの基本的なアーキテクチャは、すべてのテキストを単一のコンテキストウィンドウで処理するため、信頼できる指示と信頼できないデータの間にセキュリティ境界を設けることが極めて困難です。Microsoft 365 Copilotは、Retrieval-Augmented Generation(RAG)を通じて大規模言語モデルとエンタープライズデータソースを統合していますが、EchoLeak脆弱性は、ユーザーのメールボックス内の攻撃者制御コンテンツが、ユーザーの任何の操作なしにCopilotを不正な開示に誘導する可能性を示しました。
この攻撃のゼロクリック性は、企業環境において特に懸念されます。数千年もの従業員にM365 Copilotを導入している組織は、特定のユーザーが何らかのミスを犯すことなく、潜在的に暴露されていました。攻撃面は単に「メールを受信すること」でした。
これが暗号資産とWeb3に意味するもの
暗号資産業界は、AIエージェントをインフラに急速に統合しています。オンチェーンのAIエージェント、自動取引ボット、AI対応ウォレットインターフェース、DeFiプロトコルへの大規模言語モデルの統合が広がっています。これらのすべての実装は、EchoLeakが悪用した同じ基本的なプロンプトインジェクションの問題に直面しています。
オンチェーントランザクションを管理するAIエージェントが、処理するデータに埋め込まれた悪意のある指示に従わせられる場合、データの不正取得を超えて、資金の移動、トランザクションの署名、またはスマートコントラクトとのやり取りを含む直接的な財務的損失が発生する可能性があります。
暗号通貨では、コードがしばしばオープンソースであり、トランザクションが取り消し不可能であるため、発見から悪用までの期間は、責任ある開示と迅速なパッチ適用によってEchoLeakの影響が制御されたエンタープライズ環境よりもはるかに短い。