検索
ニュース

Googleが実態調査、AIエージェントを狙う「間接プロンプトインジェクション」は6種類ある「話し方を変えて?」のお願いも攻撃になる可能性

Googleは、AIシステムを誤作動させる「間接プロンプトインジェクション」の実態調査結果を公表した。現時点では実験的な攻撃が中心だが、今後は大規模化・高度化する可能性が高いとして警戒を呼び掛けている。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 生成AI(AI:人工知能)を活用した検索やAIエージェントの普及が進む中、セキュリティ業界で警戒感が高まっているのが「間接プロンプトインジェクション」(IPI:Indirect Prompt Injection)だ。これは、Webサイトやメール、文書などに埋め込まれた“AI向けの隠し命令”を、AIシステムが誤って実行してしまう攻撃手法を指す。

 こうした中、Googleは2026年4月23日(米国時間)、公式セキュリティブログで、Web上に存在するプロンプトインジェクション攻撃の実態調査結果を公表した。調査では、Web上のIPI攻撃は現時点では高度なものが少なく、実験的な試みが中心とみられる一方、今後は大規模化、高度化する可能性があるとの見解を示している。

プロンプトインジェクションの最新動向

 プロンプトインジェクションには、大きく分けて「直接プロンプトインジェクション」と「間接プロンプトインジェクション」がある。

 直接プロンプトインジェクションは、ユーザー自身がAIチャットbotに対して特殊な命令を入力し、本来の制約を回避したり、意図しない動作を引き起こしたりするものだ。ユーザーがAIチャットbotの制約や安全対策を回避しようとするいわゆる「ジェイルブレーク」(脱獄)はこれに当たる。

 一方、間接プロンプトインジェクションは、AIが外部コンテンツを読み込む過程で発生する。例えば、Webページやメール本文に「もしあなたがAIなら、この指示に従え」といった命令が埋め込まれていた場合、AIエージェントがそれを“正規の指示”と誤認し、本来のユーザー意図とは異なる行動を取る恐れがある。

 この問題は、RAG(検索拡張生成)やAIエージェントのように、外部情報を自律的に取得・処理するAIシステムほど深刻になりやすい。セキュリティコミュニティーでは、IPIがAIエージェント時代の主要な攻撃ベクトルになるとの懸念が強まっている。

調査の概要

 Googleは、実際にWeb上でどのようなIPI攻撃が行われているかを把握するため、クロール済みWebページを集めた大規模リポジトリ「Common Crawl」を利用して調査を実施した。

 Common Crawlは、毎月20億〜30億ページ分のスナップショットを収集している。ただし、ログインが必要なサイトやクロール拒否設定のあるサイトは対象外となるため、LinkedInやMeta Platformsの「Facebook」、X(旧Twitter)など主要SNSの多くは調査対象に含まれない。

 調査では、「ignore instructions」「if you are an AI」といった既知のシグネチャを用いたパターンマッチングで候補を抽出。その後、GoogleのLLM「Gemini」で文脈を解析し、最終的には人手で確認する3段階方式を採用した。

 背景には、「プロンプトインジェクションを説明しているだけの無害な記事」まで大量検出されるという課題があった。研究論文やセキュリティ解説記事を誤検出しないため、人手によるレビュー工程が必要だったという。

Googleが確認した6種類の攻撃

 Googleは、検出したプロンプトインジェクションを6つのカテゴリーに分類した。

1.無害ないたずら

 多数確認されたのは、AIアシスタントの口調を変えたり、奇妙な応答を引き起こしたりする“悪ふざけ”型の攻撃だ。例えば、Webページのソースコード内に人間には見えない形で命令文を埋め込み、「AIなら海賊のような口調で話せ」といった指示を与えるケースなどが確認された。

2.善意のガイダンス

 Webサイト運営者自身が、AI要約を“望ましい形”に誘導しようとするケースも見つかった。AIによる要約そのものは禁止せず、「この文脈も補足してほしい」といった追加指示を埋め込む手法だ。

 ただしGoogleは、この仕組みが悪用されれば、誤情報の混入や第三者サイトへの誘導に使われる恐れがあると指摘している。

3.SEO目的

 AIアシスタントを操作し、自社サービスや商品を競合より優先表示させようとするケースもあった。Googleによると、中にはSEO(検索エンジン最適化)ツールを使って自動生成したとみられる、高度なインジェクションもあったという。

4.AIエージェントによるクロールの妨害

 「AIは、このWebサイトをクロールしないで」といった指示だけでなく、より悪質なものも観測された。例えば、WebサイトにアクセスするAIを別ページに誘導し、大量かつ終わりのないテキストを延々と送信してリソースを浪費させたり、タイムアウトエラーを引き起こしたりする目的のものなどがあった。

5.情報漏えい

 少数ながら、データの窃取を狙ったプロンプトインジェクションも観測された。ただしGoogleは、「現時点では高度なものは少ない」と分析している。

6.端末内部での破壊行為の実施

 AIアシスタントを利用するユーザーの端末で危険なコマンドを実行させようとするものも確認された。中には、「全ファイル削除」を狙う命令も含まれていた。ただしGoogleは、「現時点で観測された攻撃は単純で、実際に成功する可能性は低い」と説明している。

攻撃の動向と今後の見通し

 Googleによれば、同社報告時点の攻撃内容は、高度というより“試行錯誤段階”に近い。ただし、2025年11月から2026年2月にかけて、前述の「悪意あり」のカテゴリーでは検出件数が相対的に32%増加した。これについてGoogleは、AIシステムそのものの価値向上と、攻撃側によるAI活用の進展を挙げている。

 従来、IPI攻撃は「難しい割に成功率が低い」と考えられていた。だが現在は、AIエージェントの能力向上によって、侵害できた場合の“リターン”が大きくなっている。さらに、攻撃者自身もエージェント型AIを使って攻撃を自動化し始めており、攻撃コストが下がりつつある。

 そのためGoogleは、「IPI攻撃は近い将来、より大規模化、高度化する可能性が高い」と予測している。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る