Palo Alto Networks傘下のセキュリティ研究チーム「Unit 42」が、2026年3月に商用プラットフォームで発生した大規模な間接プロンプトインジェクション攻撃(Indirect Prompt Injection)を記録・分析しました。広告審査の回避やシステムプロンプトのリークを目的としたこの攻撃群は、プロンプトインジェクション攻撃が理論的脅威から「実用化された攻撃手法」へと移行したことを示す重要な転換点として注目されています。
間接プロンプトインジェクションとは、AIシステムが処理する外部コンテンツ(Webページ・文書・メール等)の中に攻撃者が悪意ある指示を埋め込み、AIに意図しない動作をさせる攻撃手法です。Unit 42の記録によると、2026年3月の攻撃では商用プラットフォームのAI広告審査システムを騙して規約違反コンテンツを承認させたり、アプリが使用しているシステムプロンプト(AIへの秘密の指示)を外部に漏洩させたりするケースが確認されました。
Airia.comのセキュリティ分析によると、この種の攻撃が特に厄介なのは「AIをゲートキーパーとして使うシステム」を直接攻撃できる点です。フィッシング対策・コンテンツモデレーション・詐欺検知など、AIが「判断者」として機能する場面に対して、敵対的な入力を使って判断を誤らせることができます。
X(旧Twitter)では「『野生での初大規模観測』は重要な転換点。理論的脅威から実際の攻撃への移行が完了した」という評価が多く、セキュリティ研究者の間でも2026年3月が一つのマイルストーンとして認識されています。Reddit(r/netsec)では「広告レビュー回避という実用的なユースケースに使われているのが特に厄介。攻撃者のインセンティブが明確なため、今後さらに洗練されていく」との懸念が示されています。Hacker Newsでは「LLMをゲートキーパーとして使うシステムは全て再評価が必要。プロンプトは信頼できない入力として扱うべき」という原則が改めて強調されました。
本件はid 2のOWASPレポートとも連動しており、プロンプトインジェクションがLLMセキュリティの最大脅威(LLM01:2025)として位置づけられている現状を裏付けるものです。AIを判断基盤とするシステムを構築する開発者にとって、外部コンテンツのサニタイゼーション、出力の人間によるレビュー、AIへの権限最小化といった多層防御は、今や設計段階から組み込むべき必須要件となっています。