【重要】会員機能一時停止とサイトメンテナンスのお知らせ

暗号資産

2026.07.09 10:30

新たなマルウェアと化すAI「プロンプト」、企業の防御は追いつけるか

stock.adobe.com

stock.adobe.com

CrowdStrike(クラウドストライク)は2026年版グローバル脅威レポートで、2025年に90超の組織でプロンプトインジェクション攻撃が確認されたと報告した。注入されたプロンプトは、認証情報や暗号資産を盗むコマンドの生成に使われていた。CrowdStrikeは、プロンプトが今やマルウェアとして機能していると指摘し、この変化を位置づけた。

同レポートは、AIを活用した攻撃者の活動が前年比89%増加し、侵入の82%には従来型の悪意あるコードが関与していなかったことも明らかにした。この数字が示されたのは、企業がチャットボットから、メール、コード、決済、ファイル共有にアクセスできるエージェント、コパイロット、ブラウザー自動化へと移行するタイミングである。

プロンプトインジェクションは、大規模言語モデル(LLM)アプリケーション向けのOWASP Top 10において2版連続で首位(LLM01)に位置づけられている。OWASPが挙げる理由は単純だ。言語モデルは、開発者が書いた指示と、ウェブページ、メール、文書から取得したテキストを確実に区別できない。この曖昧さは、研究上の興味深い現象から、運用上の脆弱性へと移行した。現在その上には、名前の付いた攻撃者、割り当てられたCVE番号、フロンティアAIラボによる認める発言が重なっている。

プロンプトインジェクションは、どのように本番環境へ到達するのか

直接的なプロンプトインジェクションは、ユーザーがシステムプロンプトを上書きする指示を入力したときに起きる。チャットボットに対して「これまでの指示を無視しなさい」と命令する、よく知られたパターンだ。これに対して間接的なプロンプトインジェクションは、同じ欠陥を突くより厄介な亜種である。攻撃者は、モデルが後に他者に代わって読み込むコンテンツの中に指示を仕込む。その媒体は、メール、Confluenceページ、カレンダー招待、ウェブページ、アップロードされた文書などになり得る。ユーザーはペイロードを目にせず、攻撃者はモデルと直接やり取りせず、それでもエージェントは仕込まれた指示を実行する。

この議論の基点となる公開済みの事例が2つある。2024年8月、PromptArmorは、Slack AIのワークスペースにアクセスできる攻撃者が、自らはメンバーですらないプライベートチャンネルからAPIキーを含むデータを持ち出せると報告した。この攻撃は、パブリックチャンネルまたはアップロードされたファイルに指示を仕込むことで成立した。

翌年、Aim SecurityはEchoLeakを公表した。これはCVE-2025-32711として追跡され、CVSSスコアは9.3だった。Aimはこれを、本番環境のAIシステムに対する業界初の文書化されたゼロクリック型プロンプトインジェクションと説明した。細工された1通のメールだけで、Microsoft 365 Copilotに内部ファイルを取得させ、攻撃者が管理するサーバーへ転送させることができ、ユーザー操作は不要だった。どちらの脆弱性にもパッチ(修正プログラム)は適用されたが、根本的な攻撃クラスは解消されていない。

その後、攻撃面はエージェント型スタック全体へと広がった。メールを送信し、クラウドインフラを変更し、コードを実行するエージェントは、自らのコンテキストウィンドウを権威あるものとして扱う。RAG(検索拡張生成)パイプラインは、汚染されたウェブページや共有文書を取り込む。エージェントの長期記憶は悪意ある指示を保持し、実行のたびにそれを浮上させる。複数のモデル間でリクエストを振り分ける企業は、最も弱い経路を選ぶよう強制される可能性がある。

次ページ > ベンダー防御の限界

タグ:

advertisement

ForbesBrandVoice

人気記事