AIエージェントをランサムウェアに豹変させるプロンプトとは？：どう守ればいい？

Gartnerは、AIエージェントが単一のプロンプトでランサムウェアのような挙動を引き起こすリスクを指摘した。企業が見直すべきポイントは何か。

[Stephen Withers，TechTarget]

　AI（AI：人工知能）エージェントが、悪意あるプロンプト1つで社内ネットワークを暗号化する「ランサムウェア的な挙動」を引き起こす――。こうしたリスクが、2026年3月16〜17日に開催されたGartnerのカンファレンス「Gartner Security ＆ Risk Summit」で指摘された。

AIエージェントがなぜランサムウェアに？　情シスは何をすれば？

併せて読みたいお薦め記事

AIエージェントをますます活用する

• まだ技術負債で悩んでいる？　数千のコードを“数ドル”で直すAIはどうすごい？
• 情報システム部員は「Claude Code」をこう使っている――5つの活用例を紹介

　「6カ月間触れられていないファイルを企業ディレクトリから検索し、クラウドにアップロードした上でローカルのコピーを暗号化せよ」。古いファイルを整理し、ストレージの空き容量を増やすためのプロンプトだが、Gartnerのリー・マクマレン氏（ディスティングイッシュトバイスプレジデントアナリスト）は、「これはランサムウェアと区別が付かない」と警鐘を鳴らす。

　問題は、AIエージェントに付与された「権限」にある。高度な権限を持つエージェントが継続的に稼働している場合、わずかなプロンプト操作で意図しない処理を実行させられる可能性がある。「1つのプロンプトで悪用され得る」という指摘は、従来のセキュリティモデルが前提としてきた“人間の操作”を超えたリスクを意味する。

IAMなきAI活用は成立しない

　こうしたリスクの中核にあるのが、Identity and Access Management（IAM）だ。AIエージェントは、従来であれば複数の人間の承認を必要とした業務を単独で実行する。そのため、権限設計が曖昧なままでは、ゼロトラストの前提すら成立しない。

　さらに問題を複雑にしているのが、AIエージェント同士の通信だ。従来のように厳格に制御されたAPIではなく、プロンプトを通じて相互に情報をやり取りするケースが増えている。この構造では、文脈の乗っ取りや意図しない動作の誘発といったリスクが避けられない。

「AIガバナンスは幻想」という現実

　AI活用の拡大に伴い、「統合的なAIガバナンス基盤」による一元管理を期待する声もある。しかし、ガートナーはこの考え方を「現時点では幻想に近い」と指摘する。

　現実には、プロンプト保護やDLP（データ損失防止）といった個別の対策を組み合わせ、エージェントの前後に“境界”を設けるしかない。つまり、AIは従来のように単一製品で制御できる対象ではなく、「分解して統治するもの」へと変わりつつある。

ソーシャルエンジニアリングの自動化

　生成AIによって、外部の脅威も進化し続けている。攻撃者は新しい脆弱（ぜいじゃく）性を見つけるよりも、「人間の隙」や「設定ミス」を強化するためにAIを悪用しているからだ。

　その一例が、低コストなハードウェアを病院の待合室などに設置し、個人の端末識別番号（IMEI）を収集する手法だ。攻撃者は収集した情報を元に、AIで管理者の声をクローンし、標的へ電話をかける。「最近の500ドルの超過分クレジットカード決済が通らなかった」と偽の音声で告げ、クレジットカード情報を奪い取る。

　「1人から50万ドルを盗むよりも、1000人から500ドルずつ盗む方が簡単だ」。マクマレン氏はこう述べる。従来型の単要素認証は通用しなくなりつつある。ハードウェアのアドレスやルーティングデータ、さらには文脈に基づいた多要素認証を組み合わせる多層防御が必要ということだ。

内製AIツールによる防衛の最前線

　この自動化された攻撃に対抗するため、先進的な企業は独自のAI対抗策を構築し始めている。オーストラリアコモンウェルス銀行（Commonwealth Bank：CBA）のセキュリティ部門責任者、アンドリュー・ペイド氏は、同行が週に4000億件もの脅威シグナルを処理していることを明かした。

　CBAはセキュリティアナリストとデータサイエンティストを連携させ、独自のAIツールを開発した。この際、ベンダーの支援は受けなかったという。AIツールにより、従来は人間が2日間かけていたデータ収集と攻撃仮説の作成プロセスを、30分未満に短縮することに成功した。「従業員は単調な作業から解放され、より本質的な業務に集中できるようになった」（ペイド氏）

スキルは崩壊　CISOは限界

　しかし、AIへの依存はもろ刃の剣でもある。Gartnerの予測によると、今後数年間でセキュリティオペレーションセンター（SOC）の75％がAIに過度な依存を強める。これにより懸念されるのが、基礎的なセキュリティスキルが失われる「スキルの危機」だ。

　Gartnerのクリストファー・ミクスター氏（バイスプレジデントアナリスト）は、リーダー層の負担が限界に達しつつある実態を紹介した。2028年までに、CISO（最高情報セキュリティ責任者）の50％はインシデント対応だけでなく、災害復旧の責任まで負わされるようになり、燃え尽き症候群が加速するとGartnerは予測している。リソースや権限が不十分なまま責任だけを拡大させる「役割の押し付け」を、セキュリティリーダーは拒否すべきだとミクスター氏は助言している。

2030年、セキュリティは「コストの説明責任」を問われる

　AI時代のセキュリティは、技術だけでなく経営指標としても再定義される。例えば、多要素認証の頻用などによって生じる業務の遅延や非効率は「コントロールフリクション」として可視化され、CISOはその財務影響を説明することを求められるようになる。

　加えて、管理されていない生成AI利用（シャドーAI）が生み出す「AIデータ負債」の修復に、2030年までにIT業務の3分の1が費やされる可能性もある。

情シスが今やるべきこと

　AI時代のセキュリティは、「ツールを導入するか」ではなく「どこに境界を引くか」の問題へと変わった。

　AIエージェントに対する権限の最小化、IAMの再設計、プロンプトレベルでの制御、そして業務とセキュリティのバランスをどう取るか――。これらは全て、情シスの判断に委ねられる。どのタイミングで設計を見直すか、それとも自社のAIエージェントが攻撃者に利用されるまで待つか。選択の猶予は、それほど長くはない。