メール1通でデータが抜かれる？ M365 Copilotに潜む危険なセキュリティリスク

ユーザーの操作を必要とせず、直接Microsoft 365 Copilotから情報を抜き出すサイバー攻撃が見つかった。AIエージェントについて公に知られた初の「ゼロクリック攻撃」だという。

[David Jones，Cybersecurity Dive]

　「Microsoft 365 Copilot」（Copilot）の危険な脆弱（ぜいじゃく）性が見つかった。攻撃者はCopilotに電子メールを送るだけで組織から機密データを盗むことができる可能性があるという。

Copilotに潜む危険なセキュリティリスク

　この脆弱性は「EchoLeak」と名付けられ、識別番号は「CVE-2025-32711」だ（注1）。これを利用すると、標的になったユーザーが操作を何もしなくても、攻撃を実行できた可能性がある。生成AIに関するセキュリティに強みがあるとされるAim Securityの研究者は（注2）、2025年6月11日に「EchoLeakは、AIエージェントに関連して初めて公に知られたゼロクリック攻撃だ」と述べた。この攻撃はどれほど危険なのだろうか。

　Aim Securityのアディール・グルス氏（共同創設者兼最高技術責任者）は、「Cybersecurity Dive」に対して次のように語った。

　「この脆弱性は生成AIに関連するセキュリティ研究に重要な進展をもたらすだろう。なぜなら、ユーザーの操作を一切必要とせずに、攻撃者がCopilotのコンテキストから最も機密性の高い情報を自動的に抽出できるからだ」

　EchoLeakを利用した攻撃は、研究者が「LLM scope violation」（LLMスコープ違反）と呼ぶ問題を悪用した可能性がある。これは、組織の外部からの信用できない入力がAIモデルを乗っ取り、機密データへのアクセスや盗み出しを可能にしてしまうという問題だ。

　盗み出しが可能だったデータにはCopilotがアクセスできる全てのものが含まれていた可能性がある。チャット履歴はもちろん、「Microsoft OneDrive」のドキュメントや「Microsoft SharePoint」のコンテンツ、「Microsoft Teams」を使った会話、組織から事前にロードされたデータなどが挙げられる。

　グルス氏はCopilotのデフォルトの設定が最近まで大半の組織を攻撃のリスクにさらしていたと警告した。グルス氏は顧客が実際に標的とされた証拠はないと指摘したものの、既にデータが盗み出された可能性を否定できない上に、それを確かめる方法もない。

　Microsoftはこの脆弱性について数カ月間にわたり研究者と連携しており、2025年6月11日に発表したアドバイザリーの中で「この問題は完全に解決されており、顧客は追加の対応をとる必要はない」と述べた（注3）。

　Microsoftの広報担当者は次のように語った。

　「当社はAim Labsがこの問題を特定し、責任を持って報告してくれたことに感謝している。顧客が影響を受ける前に対処できたからだ」

　Microsoftはこの問題を軽減するためにCopilotを更新済みだ。同社はセキュリティ態勢をさらに強化する多層防御措置を実施している。

　調査企業Forrester Researchのジェフ・ポラード氏（バイスプレジデント兼プリンシパルアナリスト）は「この脆弱性はAIエージェントによる潜在的なセキュリティリスクについて、以前から懸念されていた内容と一致する」と述べた。

　ポラード氏はCybersecurity Diveに対して次のように述べた。

　「電子メールのチェックや会議のスケジュール管理、返信の送信などを自動ツールやAIに任せるようになると、蓄積された膨大な情報を狙う攻撃者は盗み出す方法を必ず見つけ出すだろう」

出典：Critical flaw in Microsoft Copilot could have allowed zero-click attack（Cybersecurity Dive）
注1：CVE-2025-32711（Feedly）
注2：Breaking down ‘EchoLeak’, the First Zero-Click AI Vulnerability Enabling Data Exfiltration from Microsoft 365 Copilot（Aim Security）
注3：M365 Copilot Information Disclosure Vulnerability（Microsoft）

原文へのリンク