ハッカーがマイクロソフトのAIを攻撃し、ユーザーのパスワードを盗む

一見無害な電子メールだけで、Microsoft Copilot AI アシスタントはユーザーの介入なしに機密データを自動的に明らかにすることができます。

Word、Excel、Outlook、PowerPoint、Teamsなどのオフィススイートアプリケーションに組み込まれているAIアシスタント「Microsoft 365 Copilot」に深刻なセキュリティ上の欠陥が発見されました。サイバーセキュリティ企業Aim Securityが公表したこの発見は、AIエージェントへの攻撃に対する懸念を高めています。

ハッカーはユーザーにリンクを含むメールを送信するだけで、ユーザーがメールを開かなくても Copilot が自動的に実行されます。

Aim Securityが「EchoLeak」と名付けたこの脆弱性により、攻撃者はユーザーの操作を一切必要とせずに重要なデータにアクセスすることが可能になります。これは、大規模言語モデル（LLM）を用いてタスクを自動実行するシステムであるAIエージェントに対する、初めての「ゼロクリック」攻撃として知られています。

AIが初めて攻撃されたとき

Microsoft Copilotの場合、攻撃者はユーザーに隠しリンクを含むメールを送信するだけです。Copilotはバックグラウンドでメールを自動的にスキャンするため、受信者の操作を必要とせずにこれらのコマンドを読み取って実行します。その結果、AIを操作してドキュメント、スプレッドシート、社内メッセージにアクセスし、それらを盗み出し、そのデータをハッカーに中継することが可能になります。

「Aim Security社が責任を持ってこの問題を特定し、報告してくれたおかげで、顧客に影響が出る前に解決することができました。感謝いたします。製品のアップデートはすでに適用されており、ユーザー側で対応していただく必要はありません」と、Microsoftの広報担当者はFortune誌に確認しました。

Tin tặc đang tìm cách khai thác AI Microsoft 365 Copilot. Ảnh: Bloomberg. — ハッカーはMicrosoft 365 Copilot AIを悪用しようとしている。写真：ブルームバーグ。

しかし、Aim Securityによると、問題はAIエージェントの根本的な設計に深く根ざしているという。Aim Securityの共同創業者兼CTOであるアディール・グラス氏は、EchoLeakの脆弱性は、現在のAIシステムが過去のセキュリティ上の過ちを繰り返している兆候だと述べた。

「攻撃者がスマートフォンに対してゼロクリック攻撃と同等の攻撃を実行できる脆弱性を複数発見しました。ただし、今回はAIシステムに対してです」とグラス氏は述べた。チームは約3ヶ月かけてMicrosoft Copilotの分析とリバースエンジニアリングを行い、AIがどのように操作されるのかを突き止めたという。

マイクロソフトは対応し、パッチを配布しましたが、グラス氏は、5か月もかかった修正は「問題の深刻さを考えると長すぎる」と述べました。これは、脆弱性の概念が新しいことと、マイクロソフトのエンジニアリングチームが特定して対応するまでに時間がかかったことが一因だと説明しました。