Microsoft 365 Copilotのデータが漏洩 – ゼロクリック脆弱性に直面

AIM Securityのセキュリティ研究者は、Microsoft 365 Copilotの最初の既知のゼロクリック人工知能(AI)の脆弱性である「Echoleak」を発見しました。

「この脆弱性は、AIセキュリティ研究の重要なブレークスルーを表しています。これは、攻撃者がユーザーの相互作用を必要とせずにMicrosoft 365 Copilotのコンテキストから最も敏感な情報を自動的に除去する方法を示しているためです。

エコーリークとは何ですか?

2025年1月に発見され、5月のMicrosoftのMSRCチームの修正後に開示されたEcholeakは、攻撃者がユーザーの接続されたMicrosoft 365環境からの機密情報を、Outlookメール、Onedriveファイル、オフィスドキュメント、SharePointコンテンツ、チームチャットの履歴を含む、悪意のある巧妙な電子メールを送信することで直接送信することを可能にした可能性があります。この電子メールは、複数のセキュリティセーフガードをバイパスし、副操縦士をトリガーして内部データを漏らし、そうでなければプライベートに保たれます。

さらに驚くべきことは、攻撃者が組織の従業員である必要がないことです。外部送信者は攻撃を開始できます。

水曜日のブログ投稿で、AIM Labsチーム 書いた そのエコーリークは、「大規模な言語モデル(LLM)スコープ違反」と説明した概念を活用しました。この場合、悪意のある俳優は、Markdownフォーマットを使用して偽装された隠されたプロンプトを混ぜた無邪気な外観の電子メールを送信します。

ユーザーが後で関連する質問を後で尋ねると、AIはそのコンテキストから電子メールを取得し、埋め込まれた命令を無意識に実行し、ドキュメント、電子メール、チャットなどの内部ソースから機密データを抽出します。

次に、攻撃者のプロンプトは、抽出されたデータを画像またはリンク内に埋め込むようにCopilotに指示します。これにより、多くの場合、SharePointやチームなどの信頼できるMicrosoftドメインを使用して、ブラウザがリソースを自動的にフェッチし、攻撃者が制御するサーバーに機密情報を即座に送信し、すべてユーザーに見えないままです。

エコーリーク攻撃チェーンの仕組み

攻撃チェーンが機能する4つの段階があります。

1。XPIAバイパス

Microsoftは、XPIA(クロスプロンプトインジェクション攻撃)と呼ばれるシステムを使用して、M365 Copilotの基礎となるLLMに到達するのを疑わしいプロンプトを検出およびブロックします。ただし、AIM Securityは、AI/アシスタント/コピロットなどの単語を完全に回避することにより、電子メール受信者のカジュアルなガイダンスとして表現された場合、迅速なインジェクション攻撃がXPIA分類子を簡単にバイパスできることを発見しました。

2。リンク編集バイパス

通常、Copilotは、ユーザーがそれらのリンクをクリックする可能性がある前に、チャット履歴から外部マークダウンリンクを編集します。

しかし、リファレンススタイルのマークダウンリンクなどのトリックを使用することにより、攻撃者はCopilotの編集フィルターを回避し、M365 Copilotによるチャットから削除されません。これらのリンクは、LLM出力で静かに拡張されます。

3。画像編集バイパス
ユーザーが何かをクリックする必要性を排除するために、攻撃者は参照スタイルの画像マークダウンを使用します。ブラウザは、攻撃者が制御するサーバーから画像を「ロード」しようとします。これにより、ユーザーの相互作用なしにデータ除去が自動的にトリガーされます。

4。 SharePointを使用してCSPバイパス

ほとんどの外部ドメインはMicrosoftのコンテンツセキュリティポリシー(CSP)によってブロックされているため、研究者はSharePointやMicrosoftチームなどの認可されたMicrosoftサービスを通じてエクスプロイトをルーティングしました。これにより、攻撃者は、ユーザーの相互作用、検出、または追加のアクセス権限なしに、敏感な副操縦士のコンテキストデータを静かに除去することができました。

技術的なメカニズムを超えて、エクスプロイトはTactic Aim Labsを「Rag Spraying」と呼びます。攻撃者は、可能性の高いユーザークエリに合わせて作成されたチャンクまたは複数の電子メールでシステムをあふれさせることで成功率を高めます。

Copilotが悪意のあるコンテンツを取得すると、攻撃者の指示に従い、内部コンテキストから最も機密のデータを抽出し、すべてユーザーの認識なしに攻撃者のドメインに送信します。
このエクスプロイトチェーンは、AIアシスタントが内部データと対話し、ユーザー入力を解釈する方法の重要な設計上の欠陥を強調しています。

マイクロソフトの応答

Microsoftが割り当てられました CVE-2025-32711 CVSSスコアが9.3の重要なゼロクリック欠陥に、2025年5月にサーバー側の修正を適用したため、ユーザーの介入は必要ありませんでした。レドモンドの巨人はまた、現実世界の搾取の証拠はなく、顧客が影響を受けることが知られていないことを指摘しました。

Also read: AndroidとiOS向けの位置情報を偽装するためのおすすめGPSアプリ10選

Echoleakの脆弱性に照らして、ユーザーと組織は、潜在的なリスクを軽減するためにいくつかの積極的な措置を講じることをお勧めします。これらには、Copilotの外部電子メールコンテキストの無効化して信頼されていないデータソースを制限し、入力電子メールのプロンプトのレビュー、FirewallレベルでAI固有のランタイムガードレールを実装して、異常な動作を監視およびブロックすること、リンクと画像を介したデータの剥離を防ぐためのAI出力でのマークダウンレンダリングを制限することが含まれます。

関連記事:
  1. AndroidとiOS向けの位置情報を偽装するためのおすすめGPSアプリ10選
  2. iPhoneからテキストメッセージを印刷する方法|効果的な4つの方法をご紹介!
  3. iPhoneとHTC One M8間でSMSを転送する方法

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連リンク集

ねこ先輩のメモ帳
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.