EchoLeak:Microsoft 365 Copilot のゼロクリック攻撃脆弱性が発見
Aim Labs が Microsoft 365 Copilot に対する重大なゼロクリック攻撃脆弱性「EchoLeak」を発見し、Microsoft の MSRC チームに報告。ユーザーの操作なしに機密情報を自動的に窃取可能な、主要な AI アプリケーションで発見された初のゼロクリック脆弱性として注目。
この攻撃は「LLM Scope Violation」と呼ばれる新しい攻撃技術を使用し、RAG ベースのチャットボットや AI エージェントに共通する設計上の欠陥を悪用。攻撃者は制限なく単純にメールを送信するだけで、M365 Copilot のコンテキストから Microsoft Graph 経由でアクセス可能な全ての機密情報を自動的に抽出できる。