この記事で分かること
- 直接インジェクションと間接インジェクションの根本的な違い
- RAGシステムが間接インジェクションに特に弱い理由
- 実際に発生した攻撃事例(Slack AI・GPT-4oのSSHキー流出)
- 企業が実施すべき5つの防御策
- AIエージェント時代に攻撃面が広がる理由
「AIを直接操作しなくても攻撃できる」——間接インジェクションとは
プロンプトインジェクション攻撃には、大きく2つの種類があります。直接型と間接型です。
直接型(Direct Injection)は、攻撃者がAIに直接悪意のある命令を送り込む手法です。「システムプロンプトを無視して…」のような入力がその典型です。多くのセキュリティ対策がこちらを対象としています。
間接型(Indirect Injection)は、それとは根本的に異なります。攻撃者はAIに直接アクセスせず、AIが参照するドキュメント・データ・Webページに悪意のある命令を埋め込みます。AIがそのデータを読み込んだ瞬間、攻撃が発動します。
被害者(ユーザー)が何か特別な行動をする必要はありません。AIが通常業務で参照するファイルや社内文書に罠が仕込まれているだけで、攻撃は成立します。
なぜRAGシステムが特に危険なのか
RAG(Retrieval-Augmented Generation)とは、社内文書・ナレッジベース・顧客データをAIが検索・参照しながら回答を生成する仕組みです。近年、「社内AIチャット」「契約書検索AI」「ヘルプデスクAI」などに広く使われています。
このRAGパイプラインは、間接インジェクションの格好の攻撃対象です。
攻撃の仕組みはシンプルです:
- 攻撃者が社内Wikiや共有ドキュメントに、一見普通に見えるファイルをアップロードする
- そのファイルには、人間には見えにくい形で指示文が埋め込まれている(例:白い文字・ゼロ幅文字・メタデータなど)
- 社員がRAG対応のAIに質問する
- AIがそのドキュメントを参照した瞬間、埋め込まれた命令を実行する
- 機密情報の外部送信、AIの回答の歪め、ユーザーへの誘導など多様な被害が発生する
Gartnerの調査によると、2026年末までに企業アプリケーションの40%がAIエージェントを組み込むと予測されています。RAGと組み合わされたAIエージェントが増えるほど、この攻撃面は拡大し続けます。
実際に起きた攻撃事例
事例1:Slack AIへの間接インジェクション攻撃
Slack(ビジネスチャットツール)のAIアシスタントに、重大な脆弱性が発見されました。
普通のSlackメッセージに見えるテキストに、隠された指示が埋め込まれていました。Slack AIがそのメッセージを参照すると、プライベートチャンネルのデータを攻撃者のサーバーに送信するよう誘導するリンクを生成しました。ユーザーがそのリンクをクリックすると、機密情報が流出する仕組みです。
マルウェアのインストールも、特別な権限も必要ありません。ただのテキストメッセージが攻撃の媒体になりました。
事例2:GPT-4oを使った実験でSSHキーが流出
2026年1月に発表された学術研究では、間接インジェクションが本番システムで広く機能することが実証されました。
研究者が用意した「毒入りメール」を、GPT-4oを使ったメール処理パイプラインで処理させたところ、最大80%の試行でAIが悪意のあるPythonコードを実行し、SSHキー(サーバーへのアクセスキー)が外部に流出しました。
こうした攻撃が「研究室の実験」を超え、実際のシステムで機能することが科学的に示されています。
攻撃が広がる5つの侵入経路
間接インジェクションは、AIが参照するあらゆるデータソースから発動します。
- Webページ: AIがWebを参照する機能(ブラウジング・検索)を持つ場合、悪意のあるWebページで攻撃可能
- PDFファイル・文書: 社内に共有されたドキュメントに埋め込まれた命令
- メール本文: メール要約・返信AI が処理するメール本文
- RAGインデックス: 社内知識ベースに混入された毒入りドキュメント
- MCPコンテキスト: Claude DesktopなどのMCP連携ツールが参照するリソース
OWASP(Webアプリケーションセキュリティの標準化団体)の「LLM Top 10」では、プロンプトインジェクション(間接型を含む)が最優先の脅威として位置づけられています。
企業が実施すべき5つの防御策
防御策1:AIへの入力データを検査する
RAGパイプラインに渡す前のドキュメント・テキストを、インジェクション攻撃パターンとして検査することが有効です。PII Firewall のプロンプトインジェクション検知機能は、日英対応の155+パターンで間接型インジェクションを含む攻撃を検出します。
防御策2:最小権限の原則を徹底する
AIエージェントに与える権限を必要最小限にとどめましょう。「メール読み取り専用」「社内文書閲覧のみ」のように権限を絞ることで、攻撃が成功した場合のダメージを局限できます。
防御策3:ドキュメントアップロードのアクセス制御を強化する
社内RAGに誰でもドキュメントを追加できる状態は危険です。承認フロー・監査ログ・スキャンの仕組みを導入しましょう。
防御策4:AIのアクション実行に人間のレビューを入れる
外部への送信・ファイル作成・システム操作など、不可逆なアクションについては人間による確認ステップを設けることが重要です。
防御策5:インジェクション対策を開発段階から組み込む
「後からセキュリティを追加する」アプローチには限界があります。RAGシステムや社内AI検索を設計する段階で、インジェクション対策を組み込む(Security by Design)ことが長期的に効果的です。
まとめ:社内AIを「信頼しすぎない」設計を
間接インジェクション攻撃は、「AIが正常に動作している」状態でも発動します。悪意のある命令がドキュメントに混入していれば、AIは忠実にその命令を実行してしまいます。
特にRAGを使った社内AI検索・チャットボットを導入している企業は、今すぐ以下を確認しましょう。
- 社内RAGのドキュメント投入経路に認証・承認があるか
- AIエージェントの権限が必要最小限か
- 入力データのインジェクション検査を行っているか
AIが賢くなるほど、攻撃の効果も高まります。「信頼するが検証する」姿勢がAI時代のセキュリティの基本です。
関連用語
- RAG(Retrieval-Augmented Generation): 外部ドキュメントをリアルタイムで参照しながら回答を生成するAI技術
- プロンプトインジェクション: AIへの命令を操作することで意図しない動作を引き起こす攻撃
- 最小権限の原則(Least Privilege): システムやユーザーに必要最小限の権限のみを与えるセキュリティ原則
- Security by Design: セキュリティを後から追加するのではなく、設計段階から組み込む考え方
参考文献
- LLM Security Risks in 2026: Prompt Injection, RAG, and Shadow AI | Sombrainc
- Indirect Prompt Injection: The Hidden Threat Breaking Modern AI Systems | Lakera
- Indirect Prompt Injection in the Wild for LLM Systems | arXiv(2026年1月)
- AI Agent Security in 2026: Prompt Injection, Memory Poisoning, and the OWASP Top 10 | SwarmSignal
- The Prompt Injection Crisis: The Silent Security Threat in 2026 | DEV Community