セキュリティ研究者がMicrosoft 365 Copilotに存在する重大な脆弱性「EchoLeak」(CVE-2025-32711)を公開しました。この脆弱性は、悪意を持って細工されたメールを受信するだけで、ユーザーがCopilotに何も指示しなくても機密ビジネスデータが外部URLへ送信される「ゼロクリック」型の攻撃を可能にするもので、エンタープライズAIシステムへのプロンプトインジェクション(prompt injection)攻撃が実用化されたとして大きな衝撃を与えています。
研究者によると、EchoLeakはメール本文中に特殊文字の置換パターンを埋め込むことで、Microsoftが設けている安全フィルタを回避する手法を用いています。Copilotがそのメールを処理する際、フィルタをすり抜けた悪意ある命令が実行され、AIアシスタント自身がSharePointファイルや社内ドキュメントなどの機密情報を取得し、攻撃者が用意した外部URLへ送信します。受信者は特別なリンクをクリックする必要もなく、そのメールが届いた時点で攻撃が成立します。
Hacker Newsでは「ゼロクリックでエンタープライズデータが漏洩する攻撃が実用化された」という反応が特に大きく、企業のセキュリティ担当者から緊急対策を求める問い合わせがスレッドに溢れました。
X(旧Twitter)ではセキュリティ研究者コミュニティを中心に、「AIアシスタントをメールシステムやドキュメント管理システムと統合することへのリスクを、企業は組織的に過小評価してきた」という警告が相次いで発信されました。利便性のためにCopilotをOutlookやSharePointと深く連携させることが、攻撃対象領域(アタックサーフェス)の劇的な拡大につながるという構造的な問題が、今回の事例で可視化されたかたちです。
Redditのr/netsecでは「M365 Copilotを有効化しているすべての組織が潜在的な標的になり得る」という警告とともに、具体的な緩和策として「プロンプトインジェクション検出ルールの実装」「外部URLへの送信をブロックするDLP(データ損失防止)ポリシーの強化」などが議論されています。
Microsoftはすでに脆弱性を修正するパッチを配布済みとされていますが、AIとエンタープライズデータの深い統合が進む現在、EchoLeakのような攻撃手法は今後も継続的に発見される可能性があります。組織としては、M365 Copilotのアクセス権限の最小化(最小権限の原則)、外部通信に対する監視ルールの強化、そして従業員へのAIセキュリティリスク教育が急務となっています。AIアシスタントの導入メリットと、それが新たに生み出すセキュリティリスクのバランスを、改めて問い直すべき時期が来ているといえるでしょう。