検索
連載

Repromptとは何か:1クリックで情報が盗まれる生成AI攻撃の仕組みDeep Insider Brief ― 技術の“今”にひと言コメント

チャットAIを狙う新手の攻撃「Reprompt」は、1クリックで命令が注入され、裏側で情報流出が連鎖し得る点が厄介。気付かないうちに被害が進む仕組みと、開発者が押さえるべき対策の考え方を整理する。

[一色政彦,デジタルアドバンテージ] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「Deep Insider Brief ― 技術の“今”にひと言コメント」のインデックス

連載目次

 Repromptリプロンプト)とは、生成AI(LLM:大規模言語モデル)を標的とした新しい攻撃手法である。Microsoft CopilotなどのAIアシスタントが備える入力機構を悪用し、正規のリンクを1回クリックさせるだけで、攻撃者が多段階に“再プロンプト”(追加の指示注入)を行い、機密情報の窃取(外部への持ち出し)や意図しない操作の誘発につなげ得る点が特徴だ。

 データセキュリティソリューションを提供するVaronis(バロニス)が発見し、警鐘を鳴らしている。なおCopilotでは、この問題に対するパッチが既に適用済みである。

Reprompt攻撃のイメージ:本来は外部サイトへのアクセスを制限するはずのAIが、攻撃者の指示に誘導されることで、URLパラメーター経由で情報流出につながるケース(画像は情報元より引用・加工)
Reprompt攻撃のイメージ:本来は外部サイトへのアクセスを制限するはずのAIが、攻撃者の指示に誘導されることで、URLパラメーター経由で情報流出につながるケース(画像は情報元より引用・加工)

 Reprompt攻撃の最大の特徴は、ユーザーがリンクを1回クリックするだけでCopilotが起動し、悪意ある命令文(プロンプト)が入力として注入され、ユーザーが気付かない裏側で「攻撃者からの指示」と「情報送信」が多段階に繰り返される点にある。画面上ではAIとのやりとりは1回きりのように見えるかもしれない。しかし内部では、AIが攻撃者のサーバと何度も通信し、次々と新しい指令(Reprompt=再プロンプト)を受け取っては実行する処理が継続してしまうのだ。

――ここからは『Deep Insider Brief』恒例の“ひと言コメント”として、今回の発表から技術の“今”を少し深く見ていく。


一色政彦

 Deep Insider編集長の一色です。こんにちは。

 Repromptの恐ろしさは、たった一度のクリックを入口に、AIが裏側で“スパイ化”し、ユーザーのコンテキスト(背景情報)を利用して情報を外部へ送信し続け得る点にあります。画面上の異変にほとんど気付けないため、被害が拡大しやすいことも厄介です。

 外部データを読み込むAIアプリケーションを開発する際は、常にこの「間接的な命令注入(プロンプトインジェクション)」のリスクを意識する必要があります。特に以下のような実装は、攻撃の足がかりになりやすいため注意が必要です。

  • 外部データを直接読み込むRAG(検索拡張生成): 検索したWebサイトやドキュメントに悪意ある命令(プロンプト)が埋め込まれていると、AIがそれを指示として解釈し、意図しない挙動へ誘導されるリスクがあります。
  • 自律的な実行権限を持つAIエージェント: 「Webページの閲覧」や「APIの実行」などの権限をAIに持たせている場合、攻撃者の指示に従って外部サーバへ通信し、情報が送信される危険性が高まります。

 対策の基本は「外部からの入力は全て攻撃の可能性があると見なす」ことです。権限を最小限に絞る、重要なアクションの前には必ず人間の承認を挟むなど、従来のWebセキュリティと同様に「信頼境界(Trust Boundary:どこまでが安全で、どこからが危険か)」を明確にした設計が求められますね。


 以下では、Reprompt攻撃の流れと被害例を、図と箇条書きでコンパクトに紹介する。

Reprompt攻撃の仕組み

 Varonisの解説に基づく攻撃フローは以下の通りだ。

Reprompt攻撃の流れを示すフロー図(画像は情報元より引用・加工)
Reprompt攻撃の流れを示すフロー図(画像は情報元より引用・加工)

攻撃のステップ

  • フィッシングリンクへの誘導: 攻撃者は、もっともらしいCopilotのリンクを含んだフィッシングメールなどをユーザーに送信する。
  • 1クリックで成立(Point of No Return): ユーザーがリンクをクリックすると、URLパラメーター(例:https://copilot.microsoft.com/?q=……)を通じて悪意あるプロンプト(AIへの命令)が注入された状態でCopilotが開く。命令が意図せず実行され得るため、ユーザーが気付いた時点では既に被害が発生している可能性がある。
  • 最初の情報送信と「再指示(Reprompt)」: Copilotは最初の命令に従い、攻撃者のサーバへアクセスする。アクセス時のURLパラメーターを経由してユーザー情報が引き渡され得る。さらにサーバからの応答データ(レスポンス)に次の命令(例:メール履歴を探せ)が含まれていると、AIはそれを読み込むことで新たな指示を受け取ってしまう。
  • 継続的な情報漏えい(多段階チェーン): Copilotはこの「外部から持ち帰った再指示」に従い、ユーザーのアクセス権限を使って機密情報を検索しては、攻撃者へ送信し続ける。タスクが完了するまで、このやりとりが自動的に繰り返される。

想定される被害例(攻撃者のサーバログ)

 攻撃者はAIとの会話を通じて、以下のような情報を盗み出そうとする。

  • コードレビュー → アクセストークンやAPIキーの窃取
  • 金融のアドバイス → 投資計画や財務情報の漏えい
  • 休暇の計画 → 家を留守にする期間の特定(空き巣リスク)
  • ペットの名前 → パスワードや「秘密の質問」の推測
  • 医療相談 → プライバシー情報の暴露
「Deep Insider Brief ― 技術の“今”にひと言コメント」のインデックス

Deep Insider Brief ― 技術の“今”にひと言コメント

Copyright© Digital Advantage Corp. All Rights Reserved.

[an error occurred while processing this directive]
ページトップに戻る