ベンダー防御の限界
2025年12月、OpenAIは、プロンプトインジェクションは詐欺やソーシャルエンジニアリングと同様、完全に解決される可能性は低いと公に認めた。同社はまた、野生環境に現れる前に社内でインジェクション戦略を発見するため、自ら構築した強化学習型の攻撃者についても説明した。そうした発見は、次の敵対的トレーニングに反映される。
Anthropic(アンソロピック)は、Claude(クロード) Opus 4.6システムカードで測定値を公表した。グラフィカルインターフェースを持つエージェントは、1回のインジェクション試行に対して17.8%の割合で屈した。200回の試行では、防御なしの場合は成功率が78.6%、公表済みの防御策を導入した状態でも57.1%まで上昇した。Googleも別途、Gemini環境に対する同社の文書化された攻撃のうち最も効果的だったものが、敵対的ファインチューニング(微調整)後も53.6%の確率で成功し続けたと報告している。
これを受け、アナリストコミュニティも姿勢を一変させている。Gartnerは2025年12月、CISO(最高情報セキュリティ責任者)に対し、ChatGPT AtlasやPerplexity(パープレキシティ) Cometを含むすべてのAIブラウザーをブロックするよう勧告した。この助言は、間接的なプロンプトインジェクション、認証情報の露出、成熟した管理策の欠如を理由に挙げた。しかし、これはすでに組織の27.7%でAtlasをインストールしたユーザーが少なくとも1人存在するというCyberhaven(サイバーヘブン)の調査結果と対照をなすものだった。英国の国家サイバーセキュリティセンター(NCSC)も同様の警告を発し、ドイツの連邦情報セキュリティ庁(BSI)もこれに続いた。
現行防御策の実務上の限界
プロンプトインジェクションが標準的な対策手法に抵抗するのは、言語モデルが指示とデータに単一のテキストチャネルを共有しているためである。入力検証、出力フィルタリング、シグネチャベースの検知、パッチ(修正プログラム)サイクルはいずれも、正規のコマンドと信頼できないコンテンツの間に線を引けることを前提としている。その線はモデル内部には存在しない。
ベンダーが提供するガードレールは、最も一般的なパターンには対処するが、ロングテールにはほとんど効果がない。分類器ベースの検知は、難読化されたもの、多言語のもの、画像にエンコードされたインジェクションを見逃す。敵対的トレーニングは特定のモデルを改善するが、その後、新たな攻撃が数週間以内に更新済みの重みを破ることが常態化している。1回の試行における失敗率がわずか1%であっても、1日に数千回稼働するエージェントに適用すれば、月に数十件の成功した侵害を生むことになる。
支援を目的とするフレームワークも、まだ追いついていない。NIST AI 600-1はプロンプトインジェクションを情報セキュリティリスクとして認識しているが、技術層ではなくポリシー層で統制している。OWASPは2025年12月、エージェント型アプリケーション向けTop 10を公開し、エージェント目標のハイジャックやメモリーコンテキストの汚染といったカテゴリーを追加したが、同文書の管理策は義務ではなく助言にとどまっている。
企業はモデルの周囲に何を構築すべきか
同じセキュリティ報告における別の調査結果では、65.3%の組織がプロンプトインジェクション専用の防御策をまったく持っていなかった。各社は、モデルベンダーが提供するものに加え、ポリシー文書と意識向上トレーニングに依存している。この姿勢はAIの攻撃面がチャットに限られていた時代には機能したが、メール、コード、決済、企業ファイル共有にアクセスできるエージェントへ移行する中では持ちこたえられない。
持続的な管理策はモデルの外側に存在する。企業は、各エージェントの権限を、その業務に必要な最小限の権限セットに制限できる。メール送信、コード実行、決済完了、アクセス制御の変更には人間の承認を必須にできる。セキュリティチームは、検索元に機密度タグを付与し、制限対象のクラスをデフォルトでRAGから除外できる。ネットワークチームは、エージェントが到達を許可される送信先ドメインを許可リスト化できる。監査チームは、重要な各アクションについて推論の全トレースを記録し、必要に応じて再生できる。
CISOが調達レビューに臨む際には、4つの具体的な問いが必要だ。第1に、検知の頻度、具体的にはベンダーがプロンプトインジェクションに対してどの分類器を実行し、それをどのくらいの頻度で再トレーニングしているのかを問う。第2に、1回の試行時と200回の試行時における公表済みの攻撃成功率を求める。第3に、OWASPのLLM01、LLM06、ASI01、ASI06のうち、製品がマーケティング上の主張ではなく実際に機能する管理策によってどれに対応しているのかを問う。第4に、重要なエージェントのアクションについて、その背後にある正確なプロンプト、検索結果、ツール呼び出しをセキュリティチームが再生できるかを確認する。
今日AIを導入するあらゆる企業は、モデルが一定の割合で注入された指示に従うという前提で運用しなければならない。持続的な管理策は、モデルそのものの外側にしか存在しない。LLMを信頼境界として扱うものはすべて、親しみやすいインターフェースを備えた「認証情報泥棒」を出荷しているに等しいのだ。


