セキュリティ研究会社Aim Labsが、Microsoft 365 Copilotに対するゼロクリックのプロンプトインジェクション攻撃「EchoLeak」(CVE-2025-32711、CVSS 9.3)を実証しました。ユーザーが何もしなくても、悪意ある命令を含んだメール1通を受け取るだけで、OneDriveのファイル・SharePointコンテンツ・Teamsメッセージなど企業内部データが外部へ漏洩できることが確認されました。Microsoftはすでに修正パッチを適用済みで、実際の悪用は確認されていないとしています。
Varonis社のブログによると、攻撃の連鎖は巧妙に設計されています。まず攻撃者は悪意ある命令をメール本文に埋め込んで送信します。Copilotがそのメールをインデックスし、検索拡張生成(RAG: Retrieval-Augmented Generation)の文脈に取り込むと、隠された命令が実行されます。攻撃はMicrosoftのXPIA(クロスプロンプトインジェクション検知)フィルターをバイパスし、参照形式のMarkdown記法でリンク秘匿化を回避し、自動取得されるイメージを悪用し、コンテンツセキュリティポリシーで許可されたMicrosoft Teamsプロキシを通じてデータを外部へ持ち出します。
特筆すべきは攻撃の「見えにくさ」です。ペイロードは通常のビジネス文書に埋め込まれたテキストに過ぎないため、従来のウイルス対策・ファイアウォール・静的スキャンでは検出できず、ログやアラートも残りません。Hacker Newsでは「EchoLeakはAIエージェントの攻撃対象領域が従来のソフトウェアより格段に広いことを証明した事例だ」という分析が高い評価を集めました。X(旧Twitter)では「ゼロクリックで企業データが漏れる。365 Copilotを全社展開している組織は今すぐパッチ状況を確認してほしい」というセキュリティエンジニアの警告が広く拡散されています。r/netsecでは「AIを社内ツールに組み込む前にセキュリティ設計が必要だという教訓」として共有される事例となりました。
EchoLeakが示したのは、AIが「賢くなるほど攻撃対象領域が広がる」という逆説です。従来のSaaSツールはユーザーの明示的な操作によってのみデータにアクセスしますが、AIアシスタントはユーザーの代わりに自律的に情報を集め、判断し、アクションを取ります。この自律性こそが利便性の源であると同時に、攻撃者が悪用できる新しい経路でもあります。企業がCopilotのようなAIアシスタントを全社展開する前に、AIが持つ権限の範囲・RAGに取り込まれるデータのソース・アウトバウンド通信の制御——これらのセキュリティ設計を事前に行うことが不可欠です。