学術論文「EchoLeak」(CVE-2025-32711、CVSS 9.3)が公開され、Microsoft 365 Copilotに対するゼロクリック型プロンプトインジェクション攻撃の詳細が明らかになりました。ユーザーが特定の操作をしなくても、悪意あるメールを受信するだけで企業内の機密データが外部に流出しうる手法として、セキュリティコミュニティに衝撃を与えています。Microsoftはすでにパッチを適用済みで、野外での悪用は確認されていません。
Aim Securityの研究者が発見したEchoLeakは、攻撃者がメール本文のMarkdown内に悪意あるプロンプトを埋め込むことで成立します。Microsoft 365 CopilotはOutlookとSharePointのコンテンツを組み合わせて処理する際に信頼境界を十分に分離しておらず、攻撃者の指示をシステム命令として誤って解釈してしまいます。HackTheBoxの技術解説によれば、攻撃チェーンはMicrosoftのXPIA(クロスプロンプトインジェクション試行)分類器を回避し、参照スタイルのMarkdownでリンク自動削除を迂回し、自動取得される画像を悪用、さらにMicrosoft Teamsのコンテンツセキュリティポリシーが許可するプロキシを通じてデータを流出させる多段構造です。
Truesecの分析によれば、このクラスの攻撃は「LLMスコープ違反(LLM Scope Violation)」と呼ばれ、モデルがシステムのコンテキスト外にある指示に従ってしまう設計上の弱点に起因します。RAGシステム(Retrieval-Augmented Generation)で外部文書を検索・参照する多くの企業AIシステムが同様の構造を持つため、r/netsecでは「RAGシステム全般に類似の脆弱性が潜む可能性」という懸念が広がり、自社システムの監査を促す声も上がっています。
X(旧Twitter)では「AIエージェントへのゼロクリック攻撃が現実のシステムで証明された」として、セキュリティ研究者が大きく取り上げる事態になりました。Hacker Newsでは論文の技術分析スレが活発で、「これはAI固有の問題ではなく、信頼境界を正しく設計しなかったアーキテクチャの問題」という本質的な指摘が多数を占めています。
EchoLeakが教えてくれる最大の教訓は、「モデル自体の安全性」と「モデルを組み込むシステムの安全性」は別物だという点です。Microsoftが迅速にパッチを当てたことは評価されますが、今後企業がCopilotのような自律的なAIエージェントを業務に深く組み込むにつれ、同様のベクターは繰り返し発見される可能性があります。外部コンテンツとシステム命令の明確な分離、特権昇格を防ぐサンドボックス設計、AIシステムが外部に送信できるデータの制限など、設計段階での対策が今後の標準となっていくでしょう。