AIセキュリティ研究機関Aim Labsは今年1月、新たな脆弱性「EchoLeak」を発見し、Microsoftに報告した。これを受け、Microsoftは5月にサーバー側の修正を実施。ユーザー側での対応は不要としている。

Microsoft 365 Copilotは、Word、Excel、Outlook、TeamsなどのOfficeアプリに組み込まれたAIアシスタント。基本的には企業内の従業員のみが利用可能だが、Microsoft Graphとの連携により外部からの脅威にも晒され得る。

EchoLeakの特徴は、従来の入力検証不足による脆弱性とは異なり、大規模言語モデル（LLM）の非構造的な入力特性を悪用する点にある。Aim Labsはこの脅威を「LLMスコープ違反」と定義。これは信頼されていない入力が、ユーザーの明示的な同意なしにモデル内の信頼されたデータへアクセスさせる行為であり、最小権限の原則に反すると指摘する。

攻撃の仕組み：「RAGスプレー」によるデータ流出の可能性

EchoLeakの攻撃手法は複数の脆弱性を組み合わせた攻撃チェーンで構成されている。中核には「RAG（Retrieval-Augmented Generation）スプレー」と呼ばれる技術がある。これは、長文メールを複数のチャンクに分割して送信し、それぞれをCopilotの潜在空間に広く分布させることで、後のユーザーの問いかけに応じて悪意ある情報を引き出させるものだ。

この手法により、以下のような機密情報の流出が懸念されていた：

• チャット履歴
• Microsoft Graph経由で取得したデータ
• 組織名やユーザー名など、事前に読み込まれた文脈情報

Microsoftはこの問題に「CVE-2025-32711」を割り当て、深刻度を「Critical（深刻）」と評価。Aim Labsによると、現時点で実際の悪用事例は確認されておらず、顧客への影響もないとしている。

Aim Labs、リアルタイム対策の開発へ

Aim Labsは現在、LLMスコープ違反に対応するリアルタイム・ガードレール機能の開発を進めており、今後もAIプラットフォームに潜在する脅威の検出と緩和策の開発を続ける方針だ。同社は今回の研究を通じ、AIアプリケーションにおける安全な導入と運用の確立を目指すとしている。

引用元記事：https://www.itmedia.co.jp/news/articles/2506/12/news074.html