セキュリティ研究者がMicrosoft 365 Copilotに深刻な脆弱性「EchoLeak」(CVE-2025-32711)を発見したことを公表しました。CVSS(共通脆弱性評価システム)スコアは9.3と最高水準に近く、攻撃者が細工した1通のメールを送信するだけで、受信者が何も操作しなくても組織のOneDriveファイル・SharePointコンテンツ・Teamsメッセージといったデータを外部に流出させることが可能です。Microsoftはサーバーサイドのパッチをすでに適用済みで、ユーザー側の対応は不要としています。
Hacker Boxの解説によると、EchoLeakはCSP(コンテンツセキュリティポリシー)バイパス、参照スタイルMarkdownを悪用したリンク難読化、自動取得される画像の悪用、Microsoft Teamsプロキシの許可設定の悪用という4段階のバイパスを巧みに連鎖させています。これはセキュリティ研究者が「LLMスコープバイパス(LLM Scope Violation)」と名付けた新たな攻撃カテゴリで、AIモデルが外部の信頼されていない入力によって操作され、本来アクセスすべきでない機密データに触れてしまう問題です。Microsoftは自社のXPIA(クロスプロンプトインジェクション試行)分類器を搭載しているにもかかわらず、複数の迂回技術によって回避された点が技術的に注目されています。
X(旧Twitter)では「AIエージェントが企業データに深く統合されるほど、このリスクは幾何級数的に増大する」という警告の声が多く見られます。Reddit r/netsecコミュニティでは複数の脆弱性チェーンの巧妙さへの評価とともに、エンタープライズへのAI導入加速への警戒を促す意見が相次ぎました。Hacker Newsでは「これはRAGベースのAIアーキテクチャが持つ根本的な設計問題であり、パッチで根治はできない」とする議論が白熱しており、今後も類似の脆弱性が発見され続けるとの見方が優勢です。
CopilotのようなエンタープライズAIが業務データへのアクセス権を持つ設計を採用する以上、プロンプトインジェクション攻撃のリスクは構造的に残り続けます。今回Microsoftが迅速にパッチを適用したことは評価できますが、セキュリティ研究者の間では「修正はいたちごっこになる」との認識が広がっています。AI導入を進める企業にとっては、ゼロトラスト設計(何も信頼しない前提のセキュリティ設計)の徹底と継続的な脆弱性監視体制の整備が急務といえます。