Amazon Q攻撃で「守りの緩さ」が露呈　“悪意のプロンプト”にどう備えるか：プロンプトインジェクションから得られた教訓

AIアシスタントサービス「Amazon Q」で発生したプロンプトインジェクション攻撃は、生成AIを業務で活用する際のリスクを浮き彫りにした。専門家は「AIが既存のセキュリティリスクを増幅する典型例」と分析する。

≫ 2025年08月29日 05時00分公開

“悪意あるプロンプト”を組み合わせた攻撃の実態

併せて読みたいお薦め記事

AI活用の裏で問われるセキュリティ対策

　Amazon Qへの今回の攻撃では構文エラーで実行が阻止され、実害は免れた。だが、サプライチェーン攻撃とプロンプトインジェクションを組み合わせた新たな手口によるリスクが明らかになった。プロンプトインジェクションとは、悪意あるプロンプトによって想定していない動作を生成AIツールにさせ、問題を発生させる手法だ。

　今回の攻撃では、匿名の人物がAmazon QのVisual Studio Code拡張機能（バージョン1.84）のGitHubリポジトリに、悪意あるコマンドを仕込んだ。Amazonの事後調査によると、攻撃者はリポジトリのコードビルド設定に紐付いていた過大な権限のGitHub認証トークンを悪用し、通常は触れられないリリース工程へ不正アクセスしていた。実際には構文エラーで実行は止まったものの、攻撃者は「AWSのセキュリティ対策が緩いことを示すためにわざと無効化した」と主張している。

　セキュリティ専門家はこの事件をオープンソースサプライチェーン攻撃の典型例と位置付ける。独立コンサルタントのエイドリアン・サナブリア氏は「オープンソースでは外部からの支援を歓迎する文化がある。エンジニアは、見知らぬ相手のプルリクエスト（ソースコードの変更内容を取り込むようリクエストすること）を無警戒に受け入れがちだ」と警鐘を鳴らす。

攻撃対象領域の拡大

　AIの普及によって攻撃者が狙える範囲は急速に広がった。プロンプトインジェクションは正式なマージプロセス（コード統合処理）さえ経る必要がない。サナブリア氏は「生成AIが受け取るあらゆる入力に悪意のプロンプトが潜む恐れがある」と警告する。

　ビジネス特化型SNS（ソーシャルネットワーキングサービス）「LinkedIn」のプロフィール文にわなとなるプロンプトを埋め込み、AIを利用するリクルーターを狙う手口も確認されている。IDCのアナリスト、マシュー・フラグ氏は「AIによるコーディングの民主化はセキュリティ面では諸刃の剣だ」と指摘する。

　CloudflareやPalo Alto Networksなどのセキュリティベンダーは、生成AIが受け取る入力と出力を検査し、危険なプロンプトを遮断するフィルタリングツールを提供している。サナブリア氏は「これらはAI版Webアプリケーションファイアウォール（WAF）として、モデルの前面に配置する保護層になる」と述べる。

　しかしAmazon Qの事例で本質的に問題だったのは、ツールの有無ではなく運用の土台だ。セキュリティベンダーChainguardのCTO（最高技術責任者）兼共同創設者マット・ムーア氏は「管理されていない認証情報、不十分な環境分離、多層防御の欠如が根本原因だった」と指摘する。

基本的なセキュリティ対策の重要性

　ムーア氏が推奨する対策は以下の通りだ。

短期間の認証情報の使用
- 長期間存続する静的トークンは攻撃リスクが高い
多層防御の実装
- 強固なブランチ保護の設定
- 署名付きコミットの強制
- 認証情報と管理システムの連携

　これらの基本対策が徹底されていれば、今回の攻撃は防げた可能性がある。AI時代のセキュリティでは新しい防御ツールの導入と並行して、最小権限や環境分離、多層防御、短命トークンなど従来からの基本を確実に実施することが不可欠だ。攻撃対象が拡大する今こそ、企業は土台からセキュリティを強化する包括的なアプローチを取る必要がある。

翻訳・編集協力：雨輝ITラボ（リーフレイン）

TechTargetジャパントップセキュリティ