AI PICKS
AI用語辞典セキュリティ

EchoLeak (ゼロクリックAI情報窃取)

読み: えこーりーく

最終更新: 2026-07-17・AI PICKS編集部

定義

EchoLeakとは、ユーザーの操作を一切必要とせず、AIアシスタントがメールやドキュメントを読み込んだだけで機密情報を外部へ流出させてしまうゼロクリック型の情報窃取攻撃のこと。

EchoLeak (ゼロクリックAI情報窃取)とは — 詳しく解説

EchoLeakは、2025年にMicrosoft 365 Copilotで報告された脆弱性(CVE-2025-32711)を機に広まった呼称で、細工したメールやドキュメントをAIアシスタントに読み込ませるだけで、クリックや承認などユーザー操作なしに機密データが外部へ送信される攻撃を指すとされる。プロンプトインジェクションとRAGによる広範な参照権限を組み合わせた経路が典型で、AIエージェントに読み取り権限を広く与える運用ほど攻撃対象領域が広がるとされている。2026年時点の実運用では、社内メールや共有ドライブへのアクセスをAIに許可する企業が増える一方、現場では出力の外部送信先を許可リスト化する対策や、既存のコード・依存関係スキャンツールにAIエージェントの権限監査を組み合わせる多層防御が採用されつつある。導入コストは新規ツール購入よりも権限設計の見直しに伴う人的工数が中心になりやすく、相場感というより「AIにどこまで自律的な外部アクセスを許すか」というガバナンス方針の有無が選定基準になるとされる。

EchoLeak (ゼロクリックAI情報窃取)の使用例

  • AIアシスタントが自動処理するメール・ファイルの外部送信先を、社内ドメイン以外は原則ブロックする許可リスト設計にして。
  • RAGで参照するドキュメント権限を最小化し、AIエージェントが読めるフォルダを業務単位で分離する構成を提案して。

EchoLeak (ゼロクリックAI情報窃取)に関連するAIツール

関連用語

セキュリティ」の他の用語

AI用語辞典をすべて見てみませんか

12カテゴリ・663語以上を体系的に整理しています

辞典トップへ