詳細を読む
企業向けAIへの攻撃手法「プロンプトインジェクション」が、2025年から2026年にかけて最も影響力の大きい脅威として浮上しています。OWASPのLLM脆弱性ランキングでは2版連続で最上位に位置づけられ、CrowdStrikeの2026年報告書は2025年に90を超える組織で正規の生成AIツールに悪性プロンプトが注入されたと記録しました。攻撃者はこれを足がかりに認証情報や暗号資産を窃取しており、AIを悪用した攻撃の総量は前年比で89%増加しています。
この脅威の根本には、LLMが命令とデータを確実に区別できないという設計上の弱点があります。企業はLLMに指示の処理や情報の要約、自動ワークフローの起動を任せていますが、モデルは命令と文脈、メタデータの境界を見分けにくく、攻撃者に行動を操作される隙を与えてしまいます。報告書はこの状況を「プロンプトは新たなマルウェアだ」と端的に表現しました。
実際の被害も相次いでいます。2024年8月にはSlack AIで、攻撃者がアクセス権を持たない非公開チャンネルからAPIキーなどを外部に持ち出せる脆弱性が公表されました。さらに2025年6月には、Microsoft 365 Copilotを標的とした世界初のゼロクリック型攻撃「EchoLeak」が報告され、攻撃者は細工したメールを1通送るだけで内部ファイルを外部サーバーへ送信できました。いずれも修正済みですが、理論上の弱点ではなく繰り返し悪用される実害であることを示しています。
攻撃手法も進化を続けています。複数モデルをまたぐ汚染の伝播、文書やGitHubのREADMEを通じたRAGサプライチェーン汚染、メールやコードを実行できるエージェントの乗っ取り、長期メモリへの命令注入による恒久的な改変などです。さらに複数LLMを使い分けるモデルルーターを狙い、最も防御の弱いモデルへ誘導する手口も登場しました。
経営層にとって影響は広範です。顧客向けチャットボットや社内コパイロット、チケット処理やクラウド運用の自動化、RAGを使うデータガバナンスまで及び、不正な操作の実行や機密データの漏えい、業務ロジックの改ざんを招きかねません。リスクはもはや「モデルが不適切な発言をした」程度にとどまらないのです。
対策として記事は、モデルの権限を必要最小限に絞ること、RAGを含む外部データをすべて敵対的とみなして分離すること、影響の大きい操作には人間の承認を必須化することなどを挙げています。最も重要なのは、LLMを自律的な意思決定者ではなく信頼できない解釈器として扱う発想の転換であり、これこそが現代のAIセキュリティの土台になると結論づけています。