Salesforce Agentforce の脆弱性 CVE-2025-32711:間接プロンプト・インジェクションで CRM データを漏洩

Salesforce Patches Critical ForcedLeak Bug Exposing CRM Data via AI Prompt Injection

2025/09/25 TheHackerNews — AI エージェント構築プラットフォーム Salesforce Agentforce に影響を及ぼす、深刻な脆弱性 CVE-2025-32711 (CVSS:9.4) を、サイバー・セキュリティ研究者たちが公表した。この脆弱性を悪用する攻撃者は、間接的なプロンプト・インジェクションを通じて、CRM ツールから機密データを漏洩させる可能性を得る。この脆弱性は、2025年7月28日に Noma Security により発見/報告され、ForcedLeak というコードネームで呼ばれている。その影響が及ぶ範囲は、Web-to-Lead 機能を有効にした Salesforce Agentforce を使用している、すべてのユーザー組織である。

Noma のセキュリティ研究リーダー Sasi Levi は、「この脆弱性が示すのは、従来のプロンプト対応システムとは根本的に異なる AI エージェントでは、攻撃対象領域が拡大していることである」と、The Hacker News に述べている。

現在の GenAI システムが直面する、最も深刻な脅威の一つが間接プロンプト・インジェクションである。この問題は、サービスがアクセスする外部データソースに、悪意の指示が挿入されることで発生し、本来は禁止されているコンテンツの生成や、想定外の行動を引き起こすものである。

Noma が実証した攻撃経路は、Web-to-Lead フォームの説明フィールドにプロンプト・インジェクションを用いるという点で単純である。それにより、脅威アクターは機密データを漏洩させ、Salesforce 関連ホワイトリストの期限切れ登録ドメインに送信し、わずか $5 で再取得できる。

この攻撃は以下の 5 ステップで実行される。

  1. 攻撃者が悪意ある説明を含む Web-to-Lead フォームを送信する。
  2. 社内の従業員が標準 AI クエリで受信したリードを処理する。
  3. Agentforce は正当な指示と隠された指示の両方を実行する。
  4. システムが CRM に機密リード情報を照会する。
  5. データを PNG 形式で、攻撃者が管理するドメインに送信する。

Noma は、「コンテキスト検証の脆弱性/過度に許容度の高い AI モデルの動作/Content Security Policy (CSP) バイパスを悪用する攻撃者は、不正な Web-to-Lead フォームを作成し、Agentforce で処理される際に不正コマンドを実行できる。単純な実行エンジンとして動作する LLM は、コンテキストにロードされた正当なデータおよび信頼できるソースと、悪意の指示を区別する能力を欠いているため、重大な機密データ漏洩につながった」と説明している。

Salesforce は期限切れのドメインのセキュリティを再確保し、URL ホワイトリスト・メカニズムを適用するパッチをリリースした。それにより、Agentforce/Einstein AI エージェントなどの出力は、信頼できる URL だけに送信されるようになる。

同社の警告には、「Agentforce を支える基盤サービスは、信頼できる URL の許可リストを適用し、プロンプト・インジェクションによる悪意のリンクの呼び出しや、悪意の生成を防止する。それにより、プロンプト・インジェクションが成功した場合であっても、外部リクエストを介した機密データ漏洩を防ぐための多層防御が実現される」と述べている。

Salesforce は信頼できる URL を適用するが、その一方でユーザーに対して推奨されるのは、厳格な入力検証の実施である。それらにより、既存のリードデータに含まれ得る異常な指示が監査され、プロンプト・インジェクションの可能性が検出され、信頼できないソースからのデータがサニタイズされるようになる。

Sasi Levi は、「ForcedLeak の脆弱性が浮き彫りにするのは、プロアクティブな AI セキュリティとガバナンスの重要性である。それにより些細なものが発見されても、数百万ドル規模の潜在的な侵害を防ぐことになり得る」と述べている。

Aim Labs の責任者 Itay Ravia は、ForcedLeak が EchoLeak 攻撃の亜種であり、特に Salesforce を狙ったものであると説明している。彼は「データ流出を可能にする、初のゼロクリック AI 脆弱性 EchoLeak CVE-2025-32711 を Aim Labs が公開した際に、この種の問題は Microsoft に限定されないと指摘した」と述べている。

さらに同氏は、「調査の結果、その他の多数のエージェント・プラットフォームも、同様に脆弱であることが明らかになった。ForcedLeak は、EchoLeak プリミティブのサブセットであり、これらの脆弱性は RAG ベースのエージェントに特有のものである。依存関係の理解不足とガードレールの欠如により、今後も主要なエージェントにおいて、さらに多くの同種の脆弱性が発生する可能性がある」とも述べている。

Salesforce Agentforce に影響を及ぼす、ForcedLeak と呼ばれる脆弱性が発見されました。原因は、Web-to-Lead フォームを通じて、悪意のプロンプトがシステムに紛れ込み、AI が正規の指示と区別できずに実行してしまう点にあります。特に LLM は外部から取り込まれた情報と、悪意の命令を見分ける能力を欠いているため、CRM 内の機密データが漏洩してしまう可能性が高まります。従来のコード上のバグではなく、AI の動作特性が引き金になっていると、この記事は指摘しています。最近の Salesforce は、サプライチェーン攻撃を引き起こしていますね。よろしければ、Salesloft で検索も、ご参照ください。