インターネットセキュリティセンター(CIS)は4月1日、プロンプトインジェクション攻撃(悪意ある指示をAIモデルに注入しシステムを誤動作させる手法)が2026年に前年比340%増加したとする報告書を公開しました。OWASPはこの攻撃タイプを大規模言語モデル(LLM)セキュリティの最高リスクに分類しており、Ciscoのレポートによると企業の83%がエージェントAIの導入を予定しているにもかかわらず、セキュリティ対策が十分に整っていると答えた企業はわずか29%に留まっています。
CISの報告書によると、2026年のプロンプトインジェクション攻撃のうち直接型(ユーザー自身が悪意ある入力をする)は全体の20%未満にとどまり、80%以上を間接型が占めています。間接型インジェクションとは、攻撃者がWebページ・メール・ドキュメントなどに悪意ある指示を埋め込み、AIエージェントがそのコンテンツを処理する際に意図せず実行してしまう手法です。OWASPのLLMセキュリティプロジェクトは2026年3月の報告書で、このカテゴリをデータ汚染やモデル盗用を抑えて最高リスクに位置づけました。
CISは同報告書で、エンタープライズ向けAIシステムにおいてプロンプトインジェクションは「根本的かつ継続的なリスク(inherent and persistent risk)」と定義しています。AIエージェントが外部ツール・API・データソースと自律的に連携するアーキテクチャ(いわゆるエージェントAI)が普及するにつれ、悪意ある指示が伝播する経路が指数関数的に広がっているとも指摘しています。VentureBeatの分析によると、CISO(最高情報セキュリティ責任者)たちが直面するランタイム攻撃は少なくとも11種類に達しており、その最筆頭がプロンプトインジェクションです。
X(旧Twitter)では「LLMにはデータと命令を構造的に区別する能力が根本的にない」というセキュリティ研究者の指摘が多数拡散しており、r/netsecでは実際の被害事例の共有とともに「エージェントAIのセキュリティ対策が普及スピードに追いついていない現実」への危機感が広がっています。Hacker Newsでは「83%が導入予定なのに29%しか準備できていないという矛盾」を指摘するコメントが集まり、企業の楽観論への批判が目立ちます。
EchoLeak(Microsoft 365 CopilotへのCVSS 9.3のゼロクリック攻撃)の公開など、プロンプトインジェクションの被害が現実のシステムで確認されるケースも増えています。OWASPはエンタープライズ環境向けの対策として、信頼境界の厳格な設計・外部コンテンツの隔離・特権レベルの分離などを推奨しています。しかし、ソースコードレベルでデータと命令を分離する標準的な仕組みがLLMアーキテクチャにまだ存在しない以上、完全な解決は難しいという見方もあります。OpenAIが自社のChatGPT Atlasでさえ「プロンプトインジェクションは継続する課題」と公式に認めた事実は、業界全体への重い示唆と言えるでしょう。