プロンプトインジェクション、企業AIの主要脅威に

企業向けAIシステムへの攻撃手法として、「プロンプトインジェクション」が実害を伴う脅威として定着しつつある。これはAIへの指示文（プロンプト）に悪意ある命令を紛れ込ませ、システムを意図せぬ動作へと誘導する攻撃だ。OWASP（オープンWebアプリケーションセキュリティプロジェクト）は2025年版の「LLMリスクトップ10」で、この攻撃を最上位の「LLM01」に2度連続で位置づけており、現時点でもっとも深刻なLLM固有の脆弱性カテゴリと認定している。

背景には、大規模言語モデル（LLM）そのものの構造的な特性がある。LLMは「指示」と「データ」、あるいは「文脈」と「メタデータ」を厳密に区別することが苦手だ。人間であれば「これは悪意ある命令だ」と判断できる場面でも、LLMはテキストの形式や文脈を読み違え、攻撃者の命令をそのまま実行してしまうことがある。企業がLLMを業務支援・分析・開発・社内自動化へと活用する場面が急速に拡大するなか、この弱点が実際の侵害経路として機能し始めている。

サイバーセキュリティ企業CrowdStrikeが2026年に公表した「グローバル脅威レポート」によると、2025年中に90以上の組織で、正規の生成AIツールに悪意あるプロンプトが注入された。攻撃者はその手口を使って認証情報や暗号資産を窃取するコマンドを生成し、同レポートは「プロンプトは新たなマルウェアだ」と明記している。また、AIを活用した攻撃者による攻撃量は前年比89%増加しており、プロンプトインジェクションが侵入の入口かつ攻撃力の増幅装置として機能していることが示された。

実際の被害事例も報告されている。2024年8月、セキュリティ研究者がSlack AIのプロンプトインジェクション脆弱性を公開した。攻撃者は公開チャンネルへの書き込みや添付文書へのコード埋め込みにより、本来アクセスできないはずのプライベートチャンネルのデータ（開発者が共有したAPIキーを含む）を外部へ持ち出せる状態だったと報告された。さらに2025年6月、セキュリティ企業Aim SecurityはMicrosoft 365 Copilotを標的とした脆弱性「EchoLeak」（CVE-2025-32711、CVSSスコア9.3）を公表した。これは生産環境のAIシステムを対象にした初の「ゼロクリック型プロンプトインジェクション」として記録されており、細工した電子メールを1通送るだけでユーザーの操作を一切必要とせず、Copilotに内部ファイルへのアクセスとその内容の外部送信を実行させることができた。いずれの脆弱性はその後修正されている。

攻撃の対象も広がっている。プロンプトインジェクションはいまや単純なチャットAIへの攻撃にとどまらず、複数のAIが連携して動く「マルチエージェントアーキテクチャ」、外部文書を参照して回答を生成するRAG（検索拡張生成）パイプライン、複数モデルへの処理を振り分けるモデルルーター、そしてAIが会話履歴を保持する長期記憶機能にまで拡張されてきた。これらはいずれも、企業が業務効率化のために積極的に導入している仕組みであり、攻撃面の広がりはそのまま企業リスクの拡大を意味する。

この状況が示すのは、プロンプトインジェクションが「理論上の欠陥」ではなく、すでに実際の侵害に使われる「繰り返し可能な攻撃手法」だという点だ。LLMを業務の中核に組み込む企業にとって、AIシステムが「どこまでを信頼してよいか」を設計段階で明確に定めることが、セキュリティの出発点になるという見方ができる。モデルのバージョンアップや機能追加と同じ優先度で、入力データの検証や権限の分離といったセキュリティ設計を組み込む必要性が、一連の事例から浮かび上がっている。

今後注目すべき点は、マルチエージェントやRAGなど複雑な構成を持つシステムへの対策がどこまで体系化されるかだ。単一モデルへの対策と異なり、複数のAIが連携する環境では、どの段階でインジェクションが起きているかを検知すること自体が難しくなる。OWASPやCrowdStrikeといった機関が継続的に警告を発するなか、企業のセキュリティチームとAI開発チームが連携してリスクを管理する体制づくりが、これまで以上に問われる局面に入ったと位置づけられる。