企業向けAIアシスタントの最大手であるMicrosoft 365 Copilotに、ユーザーがメールを開くだけでOneDrive・SharePoint・Teamsの全データを外部に流出させられるという深刻な脆弱性「EchoLeak(CVE-2025-32711)」が発見されました。Aim Labsのセキュリティ研究者チームが報告した今回の脆弱性は、共通脆弱性評価システム(CVSS)のスコアが9.3(Critical)と極めて高く、AI分野では世界初のゼロクリックPrompt Injectionの実証エクスプロイトとして記録されています。Microsoftはすでにパッチを適用済みです。
EchoLeakの核心は、Microsoft 365 CopilotがRAG(検索拡張生成)と呼ばれる手法でユーザーの業務データを参照しながら回答を生成する仕組みにあります。攻撃者が悪意ある指示を埋め込んだメールを送りつけると、Copilotがそのメール本文を「信頼できるコンテキスト」として処理し、「添付ファイルをすべて外部URLに送信せよ」といった隠し命令を実行してしまいます。被害者は何もしなくてよく、メールが受信トレイに届いた時点で攻撃は完結します。実際の検証では、OneDrive・SharePoint内の機密文書やTeamsの会話ログが自動的に外部サーバーへ送信されることが確認されました。
Aim Labsの報告によると、こうした攻撃を検知できるログ機構が不十分だったため、被害企業が自身の情報漏洩を認識できない状態が続いていた可能性があります。Microsoftが「被害の報告なし」と述べていることについて、セキュリティコミュニティでは「インシデント検知能力がないだけかもしれない」という懐疑的な見方も広がっています。
X(旧Twitter)では「EchoLeakはPrompt Injectionが理論上の脅威ではなく実際の企業データ漏洩リスクであることを証明した最初の事例。すべてのRAGベースAIシステムは同様のリスクを抱えている」という警告が業界関係者の間で広く共有されました。Hacker Newsでは「パッチで解決できる問題ではなく、RAG設計の根本的欠陥が全エンタープライズAI製品に影響する可能性がある」という議論に発展し、AI製品のセキュリティ設計そのものを問い直す声が相次ぎました。
今回の事例が示すのは、企業AIアシスタントの普及スピードとセキュリティ評価の速度の非対称性です。Microsoft 365 Copilotは数百万社が業務データを預けているプラットフォームであり、一つの設計上の欠陥が企業の全機密情報に触れる経路になりうることが改めて明らかになりました。AnthropicやGoogleなど他のエンタープライズAI提供各社も、自社のRAGパイプラインに同様のPrompt Injection経路がないか検証を迫られる状況です。AIツール導入を進める企業にとって、「どのデータをAIに与えるか」という権限設計の見直しが急務となっています。