M365 Copilotに間接的プロンプトインジェクションを可能にする脆弱性：セキュリティニュースアラート

M365 CopilotのMermaid描画機能に情報漏えいの脆弱性が存在し、間接的プロンプトインジェクションを通じて機密データが外部送信される恐れがあった。Microsoftは修正を実施し、動的要素を排除している。

[後藤大地，ITmedia]

　セキュリティ研究者は2025年10月21日（現地時間）、「Microsoft 365 Copilot」（以下、M365 Copilot）の情報漏えいの脆弱（ぜいじゃく）性を報告した。

　問題は同機能が生成するダイヤグラム「Mermaid」を経由して、利用者の機密データが外部に送信される可能性があった点にある。Microsoftはこの報告を受けて脆弱性を修正したと報告している。

M365 Copilotに脆弱性　間接的プロンプトインジェクションが可能に

　M365 Copilotは、「Microsoft Office」製品に統合されているAIアシスタントであり、文書内容の要約や分析できる機能を備えている。研究者の分析によると、攻撃者が細工したOffice文書をM365 Copilotに要約させた際、間接的プロンプトインジェクションが発生し、AIが意図しない命令を実行したという。AIがM365テナント内の最近のメールデータなどを取得し、16進数形式に変換した上で、Mermaidダイヤグラム内に埋め込む仕組みだった。

　Mermaidは、Markdown風の記述からフローチャートやシーケンス図などを生成できるJavaScriptベースの描画ツールだ。M365 CopilotにはこのMermaidを直接描画する機能が組み込まれていた。問題は、この描画機能がCSSスタイルやハイパーリンクを含むダイヤグラムを生成できる点にあった。攻撃者はこの性質を利用し、見た目は「ログインボタン」に見えるMermaid図を作成。その「ボタン」には攻撃者のサーバへのリンクが含まれ、URLの一部に16進数化されている機密データが埋め込まれていた。

　利用者がこの図中の「ログインボタン」をクリックすると、M365 Copilotが生成したMermaidアーティファクトがiframeに変換され、攻撃者のサーバからのHTTP応答を一時的に表示した。数秒後、そのiframeは自動的に消える仕組みになっていたため、利用者が不審に思わないよう工夫されていた。攻撃者は応答内容を本物のMicrosoft 365ログイン画面の画像に差し替え、利用者を誘導するように見せかけていた。

　この攻撃において、攻撃者が文書内部に不可視のテキストを埋め込み、M365 Copilotがそれを処理する過程で命令を実行してしまう点が特徴的と指摘している。直接的にプロンプトを操作する手法ではなく、文書やメールといった外部コンテンツ内に隠されている命令をAIが「間接的に」読み取ってしまうことから、間接的プロンプトインジェクションと呼ばれている。研究者は「Microsoft Excel」ファイル内に白文字で隠した命令文を複数シートに分けて配置することで、M365 Copilotに特定の挙動を取らせるPoC（概念実証）を実施している。その結果、AIは本来の要約処理を放棄し、文書が「閲覧にはログインが必要」とのメッセージを返すようになった。

　PoCコードにおいて、AIがまず「最近のメールを検索」し、その内容を16進数でエンコードして分割し、Mermaidのリンク内に組み込むよう指示されていた。ダイヤグラムには絵文字を使った疑似的なログインボタンが表示され、クリックするとデータが攻撃者のサーバに送信されている。サーバ側ではURLログに残った16進数データを復号し、電子メールの内容を復元できる状態にあった。

　Microsoftは研究結果の報告を受け、この挙動を確認し、M365 Copilotで生成されるMermaidからハイパーリンクなどの動的要素を除去している。修正後のバージョンにおいて、生成されている図に含まれるリンクをクリックしても外部通信は発生しない。研究者による再検証の結果においても修正が有効になっていることが確認されている。

　この問題はAIが外部データを処理する際に、開発者が意図していない命令を実行してしまう危険性をあらためて示す事例となった。生成AIと外部コンテンツの連携において、入力データの検証や表示機能の制限など、より厳密な制御が求められる状況にある。