企業がLLMをサポート業務や分析、開発、社内自動化に導入する動きが広がる中、サイバー犯罪者がプロンプトインジェクションで企業AIの設計上の弱点を突く事例が相次いでいます。
OWASPの「LLM Top 10」(2025)はプロンプトインジェクションをLLM01として最重要級の脆弱性に位置づけ、指示とデータを確実に分離できない点が悪用につながると指摘しました。
CrowdStrikeは2026年の「Global Threat Report」で、2025年に90以上の組織で正規の生成AIツールへ悪意あるプロンプトが投入され、資格情報や暗号資産を奪うコマンド生成に使われたと報告しました。
同社は「Prompts are the new malware」と明言し、攻撃全体の量が前年から89%増え、プロンプトインジェクションが侵入の入口かつ増幅要因になっているとしています。
実害も確認されています。
2024年8月にはPromptArmorが、Slack AIのプロンプトインジェクションにより、攻撃者がアクセス権を持たない非公開チャンネルのデータを流出させられると開示しました。
2025年6月にはAim Securityが、Microsoft 365 Copilotに対するゼロクリックのプロンプトインジェクション「EchoLeak」(CVE-2025-32711、CVSS 9.3)を公開し、細工したメール1通でCopilotが内部ファイルにアクセスし、攻撃者の管理サーバーへ送信できたと報告しました。
これらの脆弱性はパッチ適用済みとされ、攻撃は理論ではなく反復可能な脅威だと示しています。
さらに攻撃手法は多様化し、マルチエージェント、RAGパイプライン、モデルルータ、長期メモリなどを狙う形に進化しています。
企業側は権限の制約、信頼しないコンテンツの分離、ツール呼び出しの監視と重要操作への人手承認、RAG取り込み元の真正性検証、モデルルータの強化、LLMを信頼しない部品として扱う方針が求められます。
結論として、プロンプトインジェクションはテキストの解釈方法を突くため、企業AIを侵害する手段として依然有効であり、LLMを自律的意思決定者ではなく「信頼しない解釈装置」として運用する考え方が重要です。
参照元:2026/06/29 「Prompt injection is exploiting enterprise AI’s biggest design flaws by targeting agents, RAG pipelines and model routers」 https://venturebeat.com/security/prompt-injection-is-exploiting-enterprise-ais-biggest-design-flaws-by-targeting-agents-rag-pipelines-and-model-routers
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント