「ただのメール」がCopilotをだます：CVE-2025-32711の衝撃

CVE-2025-32711とは？

問題の中心にあったのは、EchoLeakと呼ばれる攻撃手法です。発見したのはAim Securityの研究チームで、対象はMicrosoft 365 Copilot。NVDでは、M365 CopilotにおけるAIコマンドインジェクションにより、認証されていない攻撃者がネットワーク越しに情報を開示させる可能性がある脆弱性として説明されています。

この脆弱性が注目された理由は、攻撃にユーザーのクリックを必要としなかった点にあります。攻撃者は、細工したメールを標的に送る。添付ファイルを開かせる必要も、リンクを踏ませる必要もありません。Aim Securityは、この攻撃をゼロクリックAI脆弱性として報告しました。

従来のメール攻撃では、受信者の行動が突破口になることが多くありました。リンクをクリックする、添付ファイルを開く、偽のログイン画面に認証情報を入力する。ところがEchoLeakでは、標的の人間ではなく、Microsoft 365 Copilotが攻撃の入口になります。

Microsoft 365 Copilotは、メール、ファイル、チャット、組織内の情報を参照しながら回答を作る仕組みを持っています。便利さの源泉は、ユーザーの業務文脈を広く読めることです。しかし、その文脈の中に外部から届いた悪意ある指示が紛れ込むと、AIは信頼すべき情報と信頼できない情報の境界を誤る可能性があります。

Aim Securityは、この問題をLLM Scope Violationと呼びました。日本語にすれば、LLMの権限範囲や文脈の境界が崩れる問題です。外部から届いたメールは、本来なら組織内の機密情報より低い信頼度で扱われるべきものです。それにもかかわらず、AIの処理文脈に取り込まれた結果、Copilotがアクセスできる内部情報に影響を及ぼす経路ができてしまいました。

EchoLeakの怖さは、メールそのものが一見すると普通の業務文書に見える点にもあります。攻撃文はAIに直接命令しているように見えない形で埋め込まれ、Microsoftのプロンプトインジェクション対策をすり抜けたと報告されています。Copilotが後から関連する業務質問に答える際、そのメールが参照対象として取り込まれることで、悪意ある指示がAIの処理に入り込む流れです。

その結果、Copilotの文脈に含まれる情報が外部へ送信される可能性がありました。Aim Securityは、漏えいし得る情報として、Copilotのチャット履歴、Microsoft Graph経由で取得されたリソース、会話の文脈に事前に読み込まれたユーザー名や組織名などを挙げています。

ただし、現時点で確認されている事実として、Microsoftはこの問題を修正済みです。報道によれば、修正はサーバー側で行われ、利用者側の操作は不要でした。また、Microsoftは実際に顧客が影響を受けた証拠はないと説明しています。Aim Securityも、顧客への影響は確認していないとしています。

それでもCVE-2025-32711が重く受け止められるのは、単なる一製品のバグに見えないからです。これは、AIが業務システムの中で多くの情報を読み、判断し、外部とやり取りするようになったときに生まれる、新しい攻撃面を示しています。

これまでのセキュリティでは、人間が何をクリックしたか、どのファイルを実行したかが大きな論点でした。これからは、AIが何を読んだか、どの情報を同じ文脈に入れたか、どこまでを信頼したかが問われます。

CopilotのようなAIアシスタントは、社内情報に近い場所で動くほど便利になります。同時に、外部から届く入力との境界をどう守るかが難しくなります。プロンプトインジェクションは、チャット画面で変な命令を入力するだけの話ではありません。メール、文書、チケット、チャットログ。AIが読むものすべてが攻撃経路になり得ます。

CVE-2025-32711は修正済みであり、確認された被害も報告されていません。それでも、AIを業務に組み込む企業にとって、この事例は見過ごせません。AIに何を読ませるのか。外部入力と内部データを同じ文脈で扱わせてよいのか。AIの出力が外部通信につながる場合、どこで止めるのか。