「M365 Copilot」に情報ダダ漏れの弱点、そのカラクリが怖すぎる：834thLap

Microsoft 365 Copilotに、気付かぬうちに情報が洩れてしまう深刻な弱点が見つかった。特に業務で頻繁に使っているユーザーほど影響を受けやすく、企業の情報システム部門にとっても無視できないリスクとなっている。

[キーマンズネット]

　Microsoftの生成AIサービス「Microsoft 365 Copilot」は、「Microsoft 365」アカウントを持っていれば誰でも利用可能だ。月額4497円（税別）のアドオンを契約することで「Microsoft Office」アプリと連携し、高度なAI機能を活用できる。

　そんなMicrosoft 365 Copilotに思いもよらぬ弱点が存在することが発覚した。しかも、Microsoft 365 Copilotを業務で頻繁に利用しているユーザーほど、その影響を受ける可能性があるという。企業の情シスも注意した方がよさそうだ。

　その問題とは、ユーザーに特定の電子メールを送るだけでMicrosoft 365 Copilotを不正に操作できてしまうというものだ。これによって、ユーザーが属する企業の機密情報や個人情報が自動的に盗まれてしまう可能性がある。

　この脆弱（ぜいじゃく）性は、AIアプリのセキュリティ対策に特化する企業Aim Securityの研究部門「Aim Labs」が、同社の技術ブログで公開したことで広く知られることとなった。

　前述の通り、Microsoft 365 CopilotはMicrosoft 365のアプリと連携し、テナント単位でデータを収集する。これにより、テナント内の文脈を踏まえた、より的確で精度の高い回答が可能になる。

　データ収集の対象には「Microsoft Outlook」「Microsoft Teams」「Microsoft OneDrive」「Microsoft SharePoint」などのアプリが含まれ、当然、そこには機密性の高い情報も多く含まれている。本来であれば、それらの情報はテナント内での使用にとどまり、外部に漏れることはない。

　だが、Aim Securityの研究チームは2025年1月、ユーザーが何も操作しなくても、Microsoft 365 Copilotから情報が外部に漏れてしまう「ゼロクリック攻撃」が可能であることを確認した。これは、ユーザーが気付かないうちに機密情報が盗まれる、非常に危険な攻撃だ。

　この攻撃は「EchoLeak」（エコーリーク）と名付けられた。攻撃の仕組みはプロンプトインジェクションと呼ばれる手法で、AIに特殊な指示（プロンプト）を与えて、意図しない動作を引き起こすものだ。攻撃者は一見無害に見えるメールに巧妙に仕込まれたプロンプトを忍ばせ、Microsoft 365 Copilotがそのメールを読み込んで情報を収集・分析する際に、隠された指示がAIにプロンプトとして認識され、攻撃が実行されてしまう。研究チームはこの問題を「LLMスコープ違反」と呼ぶ。

　Microsoft 365 Copilotには、本来プロンプトインジェクションを防ぐためのXPIA（cross-prompt injection attack）分類子による検出機構が備わっている。通常の攻撃であれば、この分類子によってプロンプトが遮断されるのだが、EchoLeakはその検出を巧妙にすり抜けてしまう。

　たとえ不正なプロンプトによって、Microsoft 365 Copilotが機密情報を取り出したとしても、それだけでは情報漏えいにはならない。外部に送信されて初めて漏えいが成立する。ところが、研究チームは、AIが攻撃者の用意したリンクにアクセスすることで、その情報を外部に送れることを突き止めた。さらに、AIが画像を作る際に、外部の画像を取得する仕組みを使えば、同じように情報を送れることを確認した。

　このように、一連のプロンプトインジェクションと情報送信の仕組みによって、Microsoft 365 Copilotは気付かぬうちに重要な情報を漏えいさせてしまう可能性がある。Aim Securityはこの脆弱性の発見直後の2025年1月にMicrosoftに報告し、同年5月に同社は修正を完了したと発表した。幸い、現時点では被害は確認されていない。

　ただし、このLLMスコープ違反と呼ばれる問題は、Microsoft 365 Copilotに限らず、他の多くのAIモデルやAIエージェントにも起こり得る脆弱性だと考えられている。EchoLeakのような新たな攻撃手法が今後も登場する可能性は十分にあり、AIを取り巻く環境が急速に進化する今こそ、警戒と対策が不可欠だ。AIの設計を見直すと同時に、プロンプトインジェクションに対抗する技術的な枠組みを強化していく必要があるだろう。

上司X：　Microsoft 365 Copilotに、ゼロクリック攻撃「EchoLeak」が発覚したという話だよ。

ブラックピット：　あのCopilotに弱点ですか。

上司X：　そう。送られて来たメールだけで機密情報が盗まれる可能性があるというね。

ブラックピット：　ニセのプロンプトで攻撃者のいいなりにしてしまうってことですか。社内の情報でRAGを構成するという部分が悪用されるとは、盲点と言えば盲点ですね。

上司X：　もちろん想定外のプロンプトインジェクション攻撃だとは思うんだけど、ユーザーが気付かないうちに被害に遭う可能性があるというのは注意が必要だな。

ブラックピット：　とは言え、Microsoftの修正は済んでいるんでしょう？　であれば……。

上司X：　そうなんだけどね、他のAIエージェントでも同じような攻撃はあり得ないワケではない、というところだから。

ブラックピット：　AIエージェントがどんどんビジネスシーンにも浸透していますからね。油断は大敵、というところでしょうか。

上司X：　実際、ユーザーはメールの不自然さを感知することもできなくて、油断するスキもないけどなあ。個人でも企業でも、生成AIを活用するムーブメントが高まっている今、このEchoLeakが冷や水を浴びせるようなことにならなければいいものだがな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。