EchoLeak と新たな AI 脅威のフロンティア: Copilot および ChatGPT 時代における企業が学ぶべき5つの教訓

Suhaas Kodagali および Sarang Warudkar -

2025年7月14日 5 読了時間

Microsoft 365 Copilot を標的としたゼロクリックの間接プロンプトインジェクションの脆弱性である EchoLeak (CVE‑2025‑32711) の最近の開示は、役員会や SOC に明確な警鐘を鳴らしました。AI はもはや単なる生産性向上ツールではなく、今や企業の攻撃対象領域の一部となっています。

EchoLeak が特に憂慮すべき点は、ユーザーのアクションが一切不要であったことです。悪意を持って作成されたメールだけで、Copilot は隠された指示を取り込み、それに基づいて動作し、機密データを漏洩させる可能性がありました。これらすべてがバックグラウンドで実行されます。

CISO やデータ保護チームにとって、これは単なる警鐘以上のものです。企業全体で AI がどのように統制され、保護され、監視されるべきかを再考する義務を課すものです。

EchoLeak とは？

• ゼロクリック攻撃: ユーザーのアクションは不要です。作成されたメールを送信するだけです。開いたり操作したりしなくても、Copilot はワークスペースデータを要約する際に隠された指示を取り込むことができます。
• 間接プロンプトインジェクション: 悪意のあるコンテンツは「通常の」メールやドキュメント内に埋め込まれています。用語や表現は、Copilot がそれらを無害なリクエストとして認識するように慎重に作成されています。
• RAG 悪用: Copilot の検索システムは、最近のメールをコンテキストに含めます。要約する際、悪意のあるプロンプトを拾い上げ、機密データの抽出や、隠された画像やマークダウンリンクを介して攻撃者が制御するサーバーへのデータ流出といったタスクを実行する可能性があります。

EchoLeak からすべての組織が学ぶべき5つの重要な教訓

 

1. シャドー AI は最も急速に拡大する盲点である

企業全体でシャドー AI の利用が爆発的に増加しており、過去1年間で AI アプリへのトラフィックが200%増加し、企業では平均320の未承認 AI アプリが使用されています (AI CARR 2025)。この急増は、AI 対応ツールが IT の監視外で採用され、可視性とガバナンスの課題を生み出していることを浮き彫りにしています。また、従業員は企業のワークフローを最適化するために、これらのアプリに企業データをアップロードしています。これに対処するため、組織は SSE ソリューション を活用して、未承認の AI ツールを自動的に検出し、リスクスコアを割り当て、不正なデータアクセスを防ぐポリシーを適用しています。実際、SSE ソリューションは未承認の AI アプリに対する LLM リスクに関する情報を提供し、企業内で許可される AI アプリに対するより厳格なガバナンスを可能にします。これらのガードレールにより、セキュリティチームは企業従業員による急速な AI 導入に対する制御を取り戻すことができます。

2. AI アプリケーションにおけるデータ保護は極めて重要である

Skyhigh Security のデータによると、AI アプリケーションにアップロードされたファイルの11%が機密性の高い企業コンテンツを含んでいますが、このリスクを軽減するためのデータ保護ポリシーを導入している企業は10%未満です (AI CARR 2025)。AI アプリにアップロードされるデータを制御することは、流出する可能性のあるデータを制御する上で大きな部分を占めます。セキュリティチームが今日抱える主要な懸念は、企業データが AI アプリにアップロードされると、企業内外のユーザーが巧妙なプロンプトエンジニアリングを使用してこのデータを取得できる可能性があることです。そのため、AI アプリにアップロードされるデータに DLP を適用することは、今や企業データセキュリティの重要な部分となっています。これには、シャドー AI アプリや企業が承認した AI アプリにアップロードされたデータも含まれます。

3. Microsoft Copilot を介した企業データの露出は主要なデータ流出リスクである

Microsoft Copilot の驚異的な台頭 — 過去1年間でトラフィックが3,600倍、データアップロードが6,000倍に増加しました (AI CARR 2025) — は、LLM を搭載したアシスタントが企業ワークフローにどれほど迅速に組み込まれているかを浮き彫りにしています。M365 Copilot に機密データがアップロードされることに加えて、セキュリティチームは、Copilot が取り込んだデータが、それを取得するためにプロンプトを設計する従業員にチャットボットによって共有されることについても懸念しています。例えば、Copilot は、機密プロジェクト情報を含むプレゼンテーションや会議の議事録を取り込んだ後、未承認の従業員にそのプロジェクトの詳細を漏らす可能性があります。これに対処するため、セキュリティチームは SSE ソリューション内の DLP を使用して、機密データが Copilot に取り込まれるのを防ぐために必要な分類ラベルを適用しています。この方法により、プロンプトエンジニアリングを使用しても、Copilot はこのコンテンツを公開しません。

4. プロンプトインジェクションのリスクにはプロアクティブな防御が必要です

EchoLeak は、敵対的な指示が無害に見えるコンテンツに隠されている間接プロンプトインジェクションと呼ばれる、増加する攻撃クラスに属します。驚くべきことに、AI サービスの94%が、プロンプトインジェクション、マルウェア、バイアス、または有害性を含む少なくとも1つの LLM リスクベクトルに対して脆弱です (AI CARR 2025)。これに対抗するため、企業は、エンタープライズ AI システムに到達する前に入力をスキャンして無害化し、隠れた脅威を効果的に無力化する プロンプトインジェクション保護 機能を備えた SSE プラットフォームを使用しています。

5. 内部脅威を監視するように AI アクティビティを監視する

AI エージェントはシステムレベルの速度で動作しますが、人間の判断を欠いているため、その行動を潜在的に危険なものと見なすことが不可欠です。特に、行動が確立されたパターンから逸脱する場合はなおさらです。これを軽減するため、企業は SSE ソリューションを使用して、AI アプリでのユーザーアクティビティを監視および追跡し、異常な使用パターン、ファイルのアップロード、またはダウンロードを検出する必要があります。これらのソリューションは UEBA を使用して、使用状況と場所に基づく異常を明らかにし、これらの入力をユーザーリスクの計算に利用します。これらのワークフローは、他の SaaS ソリューションで企業によってすでに実装されており、現在 AI アプリにも拡張されています。

未来: レジリエントな企業のための AI ネイティブ SSE

EchoLeakがAIアプリに対する最後の攻撃となることはないでしょう。ユーザーがAIアプリとプロンプトエンジニアリングをより深く理解するにつれて、同様の攻撃が増加する可能性があります。企業は、AIアプリへの、またはAIアプリを介した企業データの持ち出しからデータをより適切に保護するために、AIの使用に関する制御を今すぐ導入する必要があります。Skyhigh SecurityのようなSSEソリューションは、これらの制御を適用するための主要な機能を提供します。 

AIの悪用を防ぐための主要なSSE機能：

• シャドウAIの検出：未承認のGenAIツールを検出し、リスクスコアを割り当てます。
• AIガバナンス：リスクの高いAIアプリをブロックする制御を適用するか、より詳細なアクティビティ制御を適用します。
• AIプロンプトに対するDLP：プロンプトと応答にデータ保護制御を適用します。
• プロンプトインジェクション保護：隠されたプロンプトがないかコンテンツをスキャンし、AIの悪用をブロックします。
• UEBA / アクティビティ監視：AIアプリで実行されたアクティビティから脅威を特定し、脅威調査を実施します。

Skyhigh Securityは、企業向けのAIネイティブセキュリティを先駆けて提供しています。当社のクラウド提供型 Security Service Edge (SSE) プラットフォームは、承認済みおよび未承認のGenAIツール、コパイロット、RAGベースのエージェント全体で、機密データを保護し、AIリスクを管理するように独自に設計されています。CASB、SWG、ZTNA、RBI、および統合DLPにおける深い専門知識により、Skyhighは、EchoLeakのような新たな脅威に先行して対応しながら、組織がAIを責任を持って導入できるよう支援します。

Skyhigh AIセキュリティソリューション について今すぐ詳しく見る。

ブログへ戻る