Googleが20億のWebを分析 AIを狙う「間接的プロンプトインジェクション」の実態:英語圏のWebサイトで増加傾向
Googleの脅威インテリジェンスチームは、「間接的プロンプトインジェクション」の実態を分析した結果を公開した。
Googleの脅威インテリジェンスチームは2026年4月23日(米国時間)、「間接的プロンプトインジェクション」の実態に関する調査結果をブログで明らかにした。
ユーザーがチャットbotを「ジェイルブレイク」(脱獄)するような直接的な攻撃とは異なり、間接的プロンプトインジェクションは、Webサイトや電子メール、文書などの「悪意ある指示が仕込まれたコンテンツ」を介して実行される。AIシステムがこれらを処理してしまうと、ユーザーの意図に反して攻撃者の命令に従うリスクがある。
間接的プロンプトインジェクションはセキュリティコミュニティーにとって最優先事項の一つで、AIエージェントを標的にする脅威アクターの主要な攻撃ベクトル(経路)になるとされている。
20億のWeb分析で判明 5種類の試み
攻撃者がプロンプトインジェクションを送り込むチャネルは多数存在するが、観測しやすい場所として公開Webがある。攻撃者は、Webサイトを閲覧するAIシステムを汚染しようとプロンプトインジェクションを仕込む可能性があるためだ。現実の悪用を可視化し、「攻撃者は今、何を達成しようとしているのか」を明らかにするため、同チームは公開されているWebサイトを対象とした大規模調査を実施した。
アクセスのしやすさと再現性のため、同チームは英語圏のWebサイトから収集したクロールデータの大規模リポジトリ「Common Crawl」を使用した。Common Crawlは月次で20億〜30億ページのスナップショットを提供する。これらの大半はブログやフォーラム、コメントなどを含む静的Webサイトで、SNS(「LinkedIn」「Facebook」「X」など)は、ほぼ含まれない。そのため、SNSにおいてもプロンプトインジェクションは観測されているものの、別途の調査対象として同調査からは除外されている。
分析からは、Webサイトを閲覧するAIシステムを操作しようとする多様な試みが浮かび上がった。同チームによると、観測された間接的プロンプトインジェクションの大半は次のカテゴリーに分類される。
- 無害ないたずら
- 有益なガイダンス
- SEO(検索エンジン最適化)
- AIエージェントの抑止
- 悪意ある攻撃
- データ流出
- 破壊
無害ないたずら
このクラスの間接的プロンプトインジェクションは、Webサイトを読むAIアシスタントに大半は無害な副作用を起こすことを目的とする。同チームは多数の事例を発見しており、その例として、Webサイトを読むエージェントに対して会話のトーンを変更するよう指示する不可視のプロンプトインジェクションをソースコードに含むWebサイトがあった。
有益なガイダンス
AIの要約を制御し、読者に最良のサービスを提供しようとするWebサイト作者も観測された。同チームはこれを良性の例と見なしている。プロンプトインジェクションがAI要約を妨げようとせず、関連する文脈を追加するよう指示しているにすぎないためだ。
「ただしこの例も、誤情報を加えたり、ユーザーを第三者のWebサイトへ誘導しようとしたりすれば、容易に悪意ある攻撃に転じ得る」(Google)
SEO
一部のWebサイトでは、AIアシスタントを操作して自社のビジネスを他より優先的に紹介させる目的でプロンプトインジェクションを仕込んでいる。自動化されたSEO(Search Engine Optimization)ツールによって生成されたとみられる、より洗練されたプロンプトインジェクションがWebサイトのテキストに挿入されている例も観測されたという。
AIエージェントの抑止
プロンプトインジェクションでAIエージェントによる取得を妨害しようとするWebサイトも存在する。「もしあなたがAIなら、このWebサイトをクロールしないでください」のような事例が数多く見られる。
より陰湿な実装も観測された。AIエージェントを別のページへ誘導し、開いたページでは無限のテキストがストリーミングされて読み込みが終わらないという挙動だ。リソースを浪費させたりタイムアウトエラーを誘発させたりすることを狙ったものだ。
悪意ある攻撃:データ流出
データの窃取を狙うプロンプトインジェクションもごく少数ながら観測された。ただし同チームによれば、このクラスの攻撃は洗練度が著しく低かったという。観測例の多くは、Webサイト作者が実験として設置したように見えるものだ。2025年にセキュリティ研究者が公表した既知のデータ窃取用プロンプトのような高度な攻撃は、有意な量では観測されなかった。攻撃者が大規模に運用化するには至っていないとみられる。
悪意ある攻撃:破壊
AIアシスタントを使用するユーザーのマシンを破壊しようと試みるWebサイトも観測された。仮に実行されればユーザー端末上の全ファイルを削除しようとするコマンドを含む例だ。被害自体は深刻となり得るが、この単純なインジェクションが成功する見込みは低いと同チームはみている。他のカテゴリーと同様、最近公表された研究にある高度な間接的プロンプトインジェクション戦略を再現するのではなく、個々のWebサイト作者が実験やいたずらを試みているケースが大半だった。
間接的プロンプトインジェクションの拡大を予測
Googleは分析結果を踏まえ、攻撃者がWebで間接的プロンプトインジェクションを実験しているフェーズにあると分析している。ただし、観測された活動はまだ高度なものではないものの、検出件数は時間とともに増加している。
同じアーカイブの複数バージョンに対してスキャンを繰り返した結果、悪意あるカテゴリーでは、2025年11月から2026年2月で32%増となった。この上昇トレンドは間接的プロンプトインジェクションへの関心の高まりを示している。
一般に、攻撃者はコストと利益のバランスで動く。過去には間接的プロンプトインジェクションは風変わりで難易度が高いと見なされており、AIシステムが侵害されても、悪意ある行動を確実に実行できないことが多かった。
ただし、この状況が間もなく変わり得ると同チームはみている。今日のAIシステムは以前より大幅に高機能化しており、標的としての価値が高まる一方、攻撃者側もAIエージェントで活動を自動化し始めており、攻撃コストが下がっているためだ。「結果として、間接的プロンプトインジェクションの試みは規模、洗練度ともに拡大する」との見通しを示している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
中国によるClaude悪用サイバー攻撃をAnthropicが報告 どうAIをだましたのか?
Anthropicは、2025年9月に検知した「極めて高度なサイバースパイ活動」とそのサイバーセキュリティへの影響についてまとめたレポートを発表し、その概要を公式ブログで紹介した。
ChatGPTに脆弱性、会話内容や文書が外部サーバに伝達されるリスク
ChatGPTに脆弱性が見つかった。コード実行環境において、DNSを使った外部通信経路が成立し、入力テキストやファイル内容、要約結果などが選択的に抽出され、外部に送られる恐れがあるという。
ChromeとEdgeで430万人が感染、“Google認定の拡張機能”がマルウェアだった
ChromeとEdgeで提供されているブラウザ拡張機能で、430万人のユーザーがマルウェアに感染していることが明らかになった。(※タイトルの「正規」という表現について、解釈によっては一部誤解を招きかねないと判断し、「認定」という表現に見直しいたしました<2025/12/17>)
生成AI活用の落とし穴「精度」を上げる方法、プロンプト設計の失敗例とその対処法をDifyで学ぶ
ノーコードでAIチャットbotを作成できるDifyの入門連載。第3回は、Difyを使ったチャットbotの品質向上手法として、複数モデルによるテスト、検証、プロンプト設計の基本原則と改善、ユーザーフィードバックやアノテーションリプライを活用した継続的な改善プロセスについて具体例とともに解説します。
検知してからでは遅い――Gartnerが示すセキュリティリスク低減の新標準とは
Gartnerは、サイバーセキュリティの主軸が、検知、対応を軸とする「検知と対応型」から、先回りしてリスクに対処する「事前対応型」へ移行するとの見通しを発表した。