【2026年最新】AI脆弱性6選|EchoLeak・Reprompt・GeminiJack他、知るべき攻撃手口と対策
2025年6月〜2026年4月にかけて公表された重大AI脆弱性6件を整理。EchoLeak(Microsoft 365 Copilot)、Reprompt、GeminiJack、ForcedLeak、GrafanaGhost、OpenAIのサプライチェーン攻撃まで。各事例の手口・影響範囲・修正状況・個人と企業の対策を、煽らずに事実ベースで解説します。
目次
- まず結論:いま何が起きていて、何をすればいいか
- 6件に共通している1つの構造
- 個人ユーザーが今日からすべき3つのこと
- 企業利用者が今すぐ確認すべき3つのこと
- なぜ2025-26年に AI 脆弱性が一気に増えたのか
- 脆弱性1:EchoLeak(Microsoft 365 Copilot)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 脆弱性2:Reprompt(Microsoft Copilot Personal)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 脆弱性3:GeminiJack(Google Gemini Enterprise)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 脆弱性4:ForcedLeak(Salesforce Agentforce)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 脆弱性5:GrafanaGhost(Grafana AI Components)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 脆弱性6:OpenAI のサプライチェーン攻撃(TanStack / Axios)
- 何を狙うか
- どう攻撃するか
- 影響範囲と修正状況
- 読者の対策
- 6件の比較表
- EchoLeak とは?——「ゼロクリック」の何が画期的だったのか
- 対策は?——個人ユーザーのチェックリスト
- 最低限これだけ(5分でできる)
- 余裕があればこれも(30分でできる)
- 企業利用者の対策——ゼロトラスト3段階防御
- 段階1:入口の制御(信頼できない入力を AI に渡さない)
- 段階2:実行時の制限(Lethal Trifecta を3つ揃えない)
- 段階3:出口の検知(漏れたときに気づける状態を作る)
- あなたへの影響
- 一般ユーザーの場合
- AI を仕事で使っている人の場合
- 企業の AI 担当者の場合
- FAQ
- Q. 6件の脆弱性は本当にすべて修正済みなのか?
- Q. 自分が被害に遭ったかどうか確認する方法は?
- Q. これらの攻撃を防げるセキュリティ製品はあるか?
- Q. なぜ Anthropic(Claude)の事例はないのか?
- まとめ:個別の穴ではなく「構造」を見る
- 参考にしたソース
- あわせて読みたい
「AI がメール1通で社内データを抜かれる」——半年前ならフィクションのような話が、2025年6月から2026年4月にかけて実際に6件公表されました。Microsoft、Salesforce、Google、Grafana、OpenAI。名前を聞いたことのある大手 AI 基盤が、次々と研究者の手で穴を突かれています。
ただし、最初に大事なことをひとつ。ここで紹介する6件は、すべて公表時点でベンダーがパッチを配布済みです。今すぐ大きな被害が広がっているという話ではありません。それでもこの記事を書くのは、「同じ構造の新しい脆弱性」が今後も繰り返し出てくるからです。手口のパターンを知っておけば、次が来たときに「自分には何が関係あって、何をすればいいのか」が判断できるようになります。
煽らず、淡々と、事実 → 影響 → 対策の順で並べます。
まず結論:いま何が起きていて、何をすればいいか
細かい話に入る前に、結論を先に。
6件に共通している1つの構造
6件中5件が間接プロンプトインジェクション(IPI)——AI が外部から読み込んだメール・ドキュメント・URL パラメータ・ログに隠された命令を、ユーザーの命令と区別できずに実行してしまう構造です。残る1件は OpenAI を直撃したサプライチェーン攻撃ですが、こちらは AI そのものというより**「AI を作る側」のサプライチェーンが狙われた**点で意味が違います。
個人ユーザーが今日からすべき3つのこと
- 使っている AI ツールを最新版にアップデートする(特に ChatGPT デスクトップ版、Microsoft Copilot、Gemini)
- 機密情報を扱うときは AI の外部接続機能を切る(OpenAI のロックダウンモード、Microsoft 365 の Sensitivity Label など、各社用意あり)
- 知らない人から来たドキュメント・カレンダー招待・メールを、業務用 AI セッションに読ませない
企業利用者が今すぐ確認すべき3つのこと
- Lethal Trifecta(機密データ・外部コンテンツ・外部通信)の棚卸し:3つが揃ったエージェントは要警戒
- AI の出力先 URL を許可リスト化:ForcedLeak も GrafanaGhost も「出力先制限」で塞がれた
- 第三者ライブラリの監視:OpenAI の事例は「AI ベンダーですら従来型サプライチェーン攻撃を受ける」現実を示した
ここから先は、6件をひとつずつ噛み砕いていきます。
なぜ2025-26年に AI 脆弱性が一気に増えたのか
そもそも、なぜ今このタイミングで AI 脆弱性が立て続けに出てきたのか。背景を3行で整理します。
- AI が「文章生成ツール」から「実行エージェント」へ進化した:メール送信・ファイル取得・API 呼び出しなど、AI が現実に手を動かす範囲が一気に広がった
- 企業導入が「実験」から「本番」に移行した:Microsoft 365 Copilot、Salesforce Agentforce、Google Gemini Enterprise など、社内データに直結する AI が広く本番稼働を始めた
- 研究者の攻撃検証が間に合い始めた:2024年までは「理屈上は危ない」だった話を、Aim Security、Noma Security、Varonis などのレッドチームが実際の本番システムで再現してみせた
3つ目が特に大きいです。2025年6月の EchoLeak は「本番 LLM システムに対する世界初のゼロクリック・プロンプトインジェクション攻撃」として論文化され(arXiv 2509.10540)、それを契機に「同じ手口で他の AI も狙えるはず」という研究が一気に進みました。GeminiJack、ForcedLeak、GrafanaGhost を発見した Noma Security は、いずれも**「企業向け AI エージェントは構造的に同じ穴を持つ」**という前提で系統的に検証しています。
つまり、2025年下半期から2026年上半期にかけて出てきた6件は、偶然ではなく、研究者側の検証メソッドが追いついた結果です。
脆弱性1:EchoLeak(Microsoft 365 Copilot)
最初に取り上げるのは、AI セキュリティ史における転換点となった EchoLeak(CVE-2025-32711)です。
何を狙うか
Microsoft 365 Copilot がアクセスできるすべての情報——OneDrive のファイル、SharePoint のドキュメント、Teams のメッセージ、メール、チャット履歴など、Copilot が社内データを「読める範囲」のすべてが対象です。
どう攻撃するか
攻撃者は1通のメールを送るだけ。それで終わりです。
仕組みはこうです(Aim Security の解説より)。
- 攻撃者が、隠し命令を仕込んだメールを標的に送る
- ユーザーがメールを開いていなくても、Copilot が「文脈情報」として自動的にメール本文を読み込む
- メール内の隠し命令により、Copilot が社内データを検索・収集
- 収集したデータを、参照スタイルの Markdown 画像タグや Teams プロキシ経由で外部へ送信
ユーザーが何もクリックしなくても被害が成立する「ゼロクリック」攻撃です。Aim Security は、Microsoft の XPIA 分類器(プロンプトインジェクション検出器)、リンクの自動編集機能、Content Security Policy など、複数の防御をすべて回避するチェーンを実証しました。
影響範囲と修正状況
- CVSS スコア:9.3(Critical)
- 公表:2025年6月、Microsoft が緊急パッチを配布
- 実環境での悪用は確認されず(Aim Security による責任ある開示)
Microsoft は CVE-2025-32711 を割り当て、Patch Tuesday を待たずに緊急対応しました。「メール1通で社内データが流出しうる」状態が、もし悪意ある攻撃者に先に見つかっていたら、被害は計り知れなかったでしょう。
読者の対策
- Microsoft 365 Copilot を使う企業は、Microsoft の指示に従いテナント設定とアップデートを最新に保つ
- Sensitivity Label を使い、Copilot がアクセスできるデータの範囲を業務単位で絞る
- 「Copilot が読める範囲=攻撃で漏れうる範囲」と認識して権限設計を見直す
脆弱性2:Reprompt(Microsoft Copilot Personal)
次は、個人ユーザーを直接狙った Reprompt です。Varonis Threat Labs が発見し、2026年1月13日の Patch Tuesday で修正されました(CVE-2026-24307)。
何を狙うか
Microsoft Copilot Personal(個人版)にログインしているユーザーの個人データ。チャット履歴、ファイル、メールなど、Copilot が触れる範囲が対象です。エンタープライズ版(Microsoft 365 Copilot)は影響を受けません。
どう攻撃するか
驚くほどシンプルです。
- 攻撃者が、Microsoft の正規ドメインを含む URL を作る(URL の「q」パラメータに悪意ある命令を仕込む)
- ユーザーが「Microsoft の正規リンクだから」と安心してクリック
- Copilot がその URL を処理する際、q パラメータ内の命令を実行
- 以降、Copilot のチャットを閉じても、攻撃者がユーザーセッションに居座り続ける
ポイントは、**「正規ドメインのリンクを1回クリックするだけ」「Copilot を能動的に開く必要すらない」**こと。プラグインのインストールも、追加の操作も不要です。Windows Central の解説によれば、攻撃者は被害者のセッションを「サイレントに吸い出し続ける」状態を作れます。
影響範囲と修正状況
- 影響:Microsoft Copilot Personal(個人版)のみ。Microsoft 365 Copilot(企業版)は影響なし
- 報告:2025年8月31日、Varonis から Microsoft へ責任ある開示
- 修正:2026年1月13日の Patch Tuesday でパッチ配布
読者の対策
- Windows と Microsoft Copilot を最新版にアップデート(既に修正済みなので、これだけで Reprompt 自体は防げる)
- 個人版 Copilot でログイン中のとき、見知らぬ「Microsoft っぽい URL」を不用意に踏まない
- Varonis は後続研究で「SearchLeak」という類似の手口も発見しており、URL パラメータ経由のインジェクションは継続的な脅威と認識しておく
脆弱性3:GeminiJack(Google Gemini Enterprise)
次は Google の番です。GeminiJack は Noma Security が発見し、2025年5月6日に Google へ報告、同年8月8日に確認、その後修正されました。
何を狙うか
Google Gemini Enterprise が組織のために検索できるすべてのデータ——Gmail、Google Calendar、Google Docs、Google Drive、Workspace 内のあらゆるコンテンツです。
どう攻撃するか
GeminiJack は EchoLeak と同じく完全なゼロクリック攻撃です。
- 攻撃者が、隠し命令を仕込んだドキュメントを標的組織と共有(または外部から投稿)
- 社内の誰かが Gemini Enterprise でまったく無関係の検索をかける
- Gemini が RAG(検索拡張生成)の一環として、その「汚染ドキュメント」を自動で取り込む
- 隠し命令により、Gemini が Gmail・Calendar・Docs を横断検索
- 取得したデータを、外部画像リクエストに偽装して攻撃者サーバーへ送信
Gemini Enterprise が「組織のあらゆる Workspace データを横断検索できる」という強みが、そのまま攻撃面になりました。標的のユーザーは、自分が共有された覚えのないドキュメントに対して、まったく何もしていません。それでも、Gemini が「組織のために検索する」ときに自動的に拾われてしまう構造です。
影響範囲と修正状況
- 影響:Google Gemini Enterprise を利用する組織
- 発見:2025年5月、Noma Security による責任ある開示
- 修正:Google が確認・対応済み(実環境での悪用報告なし)
読者の対策
- Google Workspace の共有設定を見直し、外部から自動でドライブにドキュメントが届く経路を制限する
- Gemini Enterprise を導入している組織は、Google の管理コンソールで「外部コンテンツの取り扱い」関連の最新設定を確認
- 「AI に組織横断の検索権限を渡す=1点突破で全部抜かれうる」という前提で運用設計をする
脆弱性4:ForcedLeak(Salesforce Agentforce)
次は Salesforce の ForcedLeak(CVSS 9.4)です。たった5ドルのドメイン購入で悪用できたことで知られます。
何を狙うか
Salesforce Agentforce にアクセスできる CRM データ——顧客情報、商談履歴、リード情報、社内営業データなど。Agentforce は Salesforce が推進する次世代 AI エージェント基盤で、多くの企業が本番投入を始めていました。
どう攻撃するか
攻撃のシナリオが現実的すぎて、解説していて怖くなります。
- 攻撃者が、Web-to-Lead フォーム(Web サイトに置く問い合わせフォーム)に問い合わせを送る。説明欄に「ふつうの問い合わせ」を装って、隠し命令を仕込む
- 数日後、社内営業担当者が Agentforce に「最近のリードまとめて」と聞く
- Agentforce が CRM 内のリードを処理する中で、攻撃者が仕込んだ命令を実行
- 命令に従って Agentforce が CRM データを集約し、攻撃者が用意した URL へ PNG 画像リクエストとして送信
たった5ドルで買えるドメイン1つで、Salesforce を導入している組織の CRM データが抜ける可能性があった——これが ForcedLeak の衝撃でした。
影響範囲と修正状況
- CVSS:9.4(Critical)
- 報告:2025年7月28日、Noma Security から Salesforce へ
- 修正:2025年9月8日、Salesforce が「Trusted URLs Enforcement」を Agentforce および Einstein AI に適用
- 公開:2025年9月25日
修正の中身は、Agentforce の出力先 URL を「信頼済みリスト」に限定するというもの。これが後の GrafanaGhost への対策とも共通する設計思想になります。
読者の対策
- Salesforce Agentforce を導入している企業は、Salesforce の Trusted URLs 設定を有効化
- Web-to-Lead を含む「外部から自由に入力できるフィールド」が AI 処理に流れ込まないかを棚卸し
- リードや問い合わせを AI に処理させる前段で、敵対的入力を検査する仕組みを挟む
脆弱性5:GrafanaGhost(Grafana AI Components)
異色の事例が、2026年4月に Noma Security が公表した GrafanaGhost です。これまでの5件とアーキテクチャ的に違う点が重要。
何を狙うか
Grafana(インフラ監視・可観測性プラットフォーム)に蓄積されたデータ——財務指標、インフラ稼働状況、顧客レコード、ログなど。Grafana は世界中の企業がインフラ監視に使っており、機密度の高いデータが集まる場所です。
どう攻撃するか
GrafanaGhost のひねりは、攻撃が**「ユーザーセッション」ではなく「バックエンドプロセス」を経由する**点にあります。
- 攻撃者が、隠し命令を含む URL パラメータを Grafana のエンドポイントに送る
- その URL が Grafana のエントリーログに記録される
- Grafana の AI アシスタント(裏で動くバックエンドプロセス)が、ログを処理する際に隠し命令を読み取る
- AI が指示に従い、Grafana 内部のデータを取得して外部へ送信
これまでの5件は「ユーザーが操作する AI」が舞台でしたが、GrafanaGhost は「裏で勝手に動いている AI」が標的です。Kiteworks の分析によれば、RBAC(ロールベースアクセス制御)はこの場面では発動しません。なぜならバックエンドプロセスとして動く AI は、特定ユーザーの権限ではなく、システム全体の権限で動いているから。
ログイン情報もフィッシングも要らない。Grafana にデータを送り込めるだけで、AI が勝手にデータを抜き出して送信してしまう——これが GrafanaGhost の本質です。
影響範囲と修正状況
- 公表:2026年4月7日、Noma Security
- 修正:Grafana Labs が即座にパッチ配布
- 実環境での悪用、Grafana Cloud からのデータ流出はなしと Grafana Labs が発表
読者の対策
- Grafana を運用している組織は、Grafana Labs のセキュリティアドバイザリに従い最新版へ更新
- 「裏で動く AI ワーカー」が組織内にいないか棚卸しする(CI/CD パイプラインの AI、監視 AI、ログ要約 AI など)
- バックエンド AI プロセスにも出力先 URL の許可リストを適用する
脆弱性6:OpenAI のサプライチェーン攻撃(TanStack / Axios)
最後は、毛色の違う1件。OpenAI 自身が標的になったサプライチェーン攻撃です。
何を狙うか
OpenAI の開発インフラそのもの。具体的には、ChatGPT Desktop、Codex App、Codex CLI、Atlas など macOS / iOS / Windows 向けアプリのコード署名証明書です。
どう攻撃するか
2件が連続して起きました。
Axios 攻撃(2026年3月31日)
- 攻撃者(北朝鮮系と推定)が、npm 上の Axios ライブラリのメンテナアカウントを乗っ取り
- 悪意あるバージョン(v1.14.1, v0.30.4)を公開
- OpenAI の macOS アプリ署名用 GitHub Actions ワークフローが、これをダウンロードして実行
- ワークフローが持っていた証明書とノータライゼーション素材が攻撃者に渡る
TanStack 攻撃(2026年5月11日)
- 「Mini Shai-Hulud」と呼ばれる広範な攻撃の一環で、TanStack 関連の42個の npm パッケージ、計84バージョンがわずか6分間に改ざんバージョンとして公開された
- OpenAI 社員2名のマシンが侵害される
- 一部の内部ソースコードリポジトリへの不正アクセスと、限定的な認証情報の流出が発生
影響範囲と修正状況
- OpenAI のユーザーデータ流出は確認されず(OpenAI 発表)
- macOS / iOS / Windows の署名証明書をすべてローテーション
- ChatGPT Desktop、Codex、Atlas の macOS ユーザーは2026年6月26日までに最新版へアップデート必須
- 6月12日以降、旧証明書で署名されたアプリは macOS のセキュリティ機構によりブロック
「OpenAI ですら、第三者ライブラリ経由でサプライチェーン攻撃を受ける」——この事実は、AI 開発を内製している組織にも他人事ではありません。
読者の対策
- ChatGPT Desktop、Codex、Atlas の macOS 版を最新へアップデート(まだしていない人は今すぐ)
- 自社で AI ツールを内製している場合、npm / pip / cargo などのパッケージマネージャーに対する SCA(ソフトウェアコンポジション分析)を導入
- 「AI を作る側のサプライチェーン」も攻撃面だと認識し、ビルド環境を分離する
6件の比較表
ここまでの内容を1枚にまとめます。
| 脆弱性 | プラットフォーム | 公表時期 | CVSS | 攻撃手口 | 修正状況 |
|---|---|---|---|---|---|
| EchoLeak | Microsoft 365 Copilot | 2025年6月 | 9.3 | メール1通で発動するゼロクリック IPI、画像タグで外部送信 | パッチ済み(CVE-2025-32711) |
| Reprompt | Microsoft Copilot Personal | 2026年1月 | (公開済CVE) | URL の q パラメータ経由、1クリックで成立 | パッチ済み(CVE-2026-24307) |
| GeminiJack | Google Gemini Enterprise | 2025年12月(修正) | 非公開 | 共有ドキュメント経由ゼロクリック、Workspace 横断検索を悪用 | パッチ済み |
| ForcedLeak | Salesforce Agentforce | 2025年9月 | 9.4 | Web-to-Lead 経由 IPI、PNG リクエストで送信、$5 ドメインで悪用可 | パッチ済み |
| GrafanaGhost | Grafana AI Components | 2026年4月 | 非公開 | ログ経由でバックエンド AI に命令注入、認証不要 | パッチ済み |
| OpenAI サプライチェーン | OpenAI 開発インフラ(npm 経由) | 2026年3月・5月 | — | TanStack / Axios の改ざんパッケージ、署名証明書漏えい | 証明書ローテーション完了 |
5件は「間接プロンプトインジェクション」、1件は「サプライチェーン攻撃」。手口は違っても、Kiteworks の分析が指摘する3つの共通失敗パターンに集約されます。
- 検証なしに外部入力を AI に流し込んでいる
- AI に「業務範囲を超えた」広いデータアクセスを与えている
- AI が動く環境(バックエンドプロセスやビルドパイプライン)の権限境界が緩い
つまり、新しい AI 脆弱性が出てきても、対処すべき設計原則はほぼ同じということです。
EchoLeak とは?——「ゼロクリック」の何が画期的だったのか
ここで、最初の事例 EchoLeak をもう少し掘り下げます。なぜこれが転換点と呼ばれるのか。
従来のフィッシング攻撃は、ユーザーが何かをクリックして初めて成立するものでした。怪しいリンクを踏む、添付ファイルを開く、ログイン情報を入力する——どこかで人間の操作が要ります。だからセキュリティ教育の主軸は「怪しいリンクを踏まない」でした。
EchoLeak はこの前提を崩しました。メールが届くだけで成立する。ユーザーがメールを開く必要すらありません。なぜなら Copilot が「文脈情報」として、受信メールを自動で読み込んでしまうから。
これが意味するのは、従来のユーザー教育では防げない攻撃の登場です。「不審なメールに気をつけて」と言われても、メールが届いた時点で攻撃が動き始めるなら、ユーザーには止めようがない。だから防御は、AI 側の構造(どこまで読み込むか、どこまで送信できるか)を絞ることでしか実現できません。
EchoLeak 以降の5件も、すべて「人間の判断を介さずに AI が動く」場面を狙っています。これは AI 時代のセキュリティが、従来の常識から一歩進んだことの証左です。
対策は?——個人ユーザーのチェックリスト
ここまで読んで、「結局、自分は何をすればいいの?」と思ったはずです。シンプルにまとめます。
最低限これだけ(5分でできる)
- ChatGPT Desktop(macOS 版)を最新版にアップデート(OpenAI のサプライチェーン攻撃対策、6月26日が期限)
- Microsoft Copilot(個人版)を含む Windows 関連の更新を適用(Reprompt 対策)
- Google Workspace の共有設定を確認:外部から自分のドライブにファイルが届きうる経路を点検(GeminiJack の予防)
余裕があればこれも(30分でできる)
- ChatGPT のメモリ機能の中身を確認:身に覚えのない記述があれば削除
- 機密データを扱うとき、ChatGPT のロックダウンモードを試す(外部接続を切れる)
- 仕事用と私用で別のブラウザプロファイルを使う:AI ブラウザを使うなら特に
- 「自動で外部にメールを送る・買い物をする」系の AI 連携を見直す
詳細は個人ができるAIセキュリティ7つの習慣も参照してください。
企業利用者の対策——ゼロトラスト3段階防御
企業の場合は、もう一歩踏み込んだ設計が必要です。Kiteworks や Noma Security が共通して提唱する考え方を、3段階に整理します。
段階1:入口の制御(信頼できない入力を AI に渡さない)
- AI に流れ込むすべての外部入力(メール、共有ドキュメント、フォーム、URL パラメータ、ログ)にラベルをつけ、AI が「これは外部から来た情報」と認識できるようにする
- 高リスクな経路(Web-to-Lead、外部からの共有ドキュメント、エントリーログ)には敵対的入力フィルタを挟む
- 「AI が読むコンテンツ」と「AI への命令」を構造的に分離するアーキテクチャを採用
段階2:実行時の制限(Lethal Trifecta を3つ揃えない)
- 機密データを扱う AI には、外部通信を切るか、許可リスト方式にする(ForcedLeak も GrafanaGhost も「出力先 URL 制限」で塞がれた)
- AI に与える権限は業務単位で最小限に。営業用 AI に財務データへのアクセスは不要
- 1回の認証で広く動ける状態をやめ、操作ごとに権限を再チェックする
段階3:出口の検知(漏れたときに気づける状態を作る)
- AI がどの URL に何を送ったかを全件ログ化
- 「正規に見える異常」を検知するルール(短時間に大量のデータが外部に送られた、初めて見る URL に送信した、など)を整備
- 異常検知はリアルタイムで人間に通知
ここまで揃って、ようやく**「同じ構造の次の脆弱性が出ても致命傷を負わない」**状態になります。
あなたへの影響
立場ごとに、リアルな影響を整理します。
一般ユーザーの場合
直接の被害確率は、まだ高くありません。6件中5件は研究者が発見した時点でパッチが配布されたためです。とはいえ、ChatGPT Desktop の証明書ローテーションのようにアップデートしないと使えなくなる事例もあり、「面倒だから後回し」が機能停止のリスクになり始めています。「来た更新は素直に当てる」が一番の対策です。
AI を仕事で使っている人の場合
ChatGPT のメモリ機能、Copilot の Web 検索連携、Gemini の Workspace 横断検索——便利な機能ほど、攻撃面でもあります。機密情報を扱うときは、便利機能を一時的に切る癖をつけておくと、未知の脆弱性が出てきても自分で守れます。OpenAI がロックダウンモードを出した背景もここにあります。
企業の AI 担当者の場合
最も注意が必要です。Salesforce Agentforce、Microsoft 365 Copilot、Google Gemini Enterprise——どれも本番投入が進む中で、Lethal Trifecta が揃ったまま運用されている事例が多いとされています。ベンダー任せにせず、自社の出力先 URL 許可リスト、最小権限設計、ログ監視を整備しておくこと。プロンプトインジェクション全体の構造を理解したい人は2026年最新プロンプトインジェクション攻撃と防ぎ方もあわせて読んでください。
FAQ
Q. 6件の脆弱性は本当にすべて修正済みなのか?
A. 公表時点ではすべてベンダーが修正パッチを配布しています。ただし「同じ構造の新しい脆弱性」が今後も出続けると複数の研究者が指摘しています。個別の穴ではなく構造的な問題だからです。
Q. 自分が被害に遭ったかどうか確認する方法は?
A. 一般ユーザーが個別に確認するのは困難です。**「ベンダーから提供された更新を当てているか」「メモリ機能に身に覚えのない記述がないか」**の2点をチェックするのが現実的です。企業利用者は、AI の出力先 URL ログを過去にさかのぼって異常な送信先がないかを確認することを推奨します。
Q. これらの攻撃を防げるセキュリティ製品はあるか?
A. プロンプトインジェクション検出ツール(Microsoft の XPIA、Google の AI 防御スタック、Noma Security の製品など)は存在しますが、100%ではないことを各社が認めています。「製品を入れたから安心」ではなく、Lethal Trifecta を揃えない・出力先を絞る・人間承認を挟むといった設計レベルの対策と組み合わせるのが現実解です。
Q. なぜ Anthropic(Claude)の事例はないのか?
A. Anthropic は2026年2月のシステムカードで、直接プロンプトインジェクションの評価指標を外し、間接インジェクション対策に注力していることが報じられています。Claude にも研究は行われており、過去には独立した脆弱性レポートも複数あります。今回の6件は「公表のインパクトが大きかった」事例の選定であり、Claude が安全と保証するものではありません。
まとめ:個別の穴ではなく「構造」を見る
長くなったので最後に整理します。
- 2025年6月の EchoLeak から2026年4月の GrafanaGhost まで、6件の重大 AI 脆弱性が公表された
- 6件中5件が間接プロンプトインジェクション、残る1件はサプライチェーン攻撃。すべて公表時点でベンダーが修正済み
- 共通の失敗パターンは「信頼できない入力の検証不足」「広すぎるデータアクセス」「実行環境の権限境界の緩さ」の3つ
- 個人ユーザーは「最新版へアップデート」「機密時は外部接続を切る」「AI に自動送金・自動送信させない」の3つで大半のリスクを避けられる
- 企業は「Lethal Trifecta を揃えない」「出力先 URL の許可リスト化」「操作ごとの権限再チェック」の3層防御が必須
セキュリティ研究者の Simon Willison が指摘するとおり、これは「コードのバグ」ではなく「AI が言葉を理解する仕組みそのもの」に由来する問題です。新しい穴が見つかっても、対処すべき設計原則はほぼ同じ。だから、ひとつひとつの事例名を覚えるよりも、**「外部入力・データアクセス・外部通信の3つを同時に揃えない」**という原則を覚えておくほうが、ずっと長持ちします。
AI を怖がるのではなく、仕組みを知って付き合う。この記事が、その判断の土台になればうれしいです。
参考にしたソース
- EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System (arXiv 2509.10540)
- Zero-Click AI Vulnerability Exposes Microsoft 365 Copilot Data Without User Interaction(The Hacker News)
- Reprompt: The Single-Click Microsoft Copilot Attack(Varonis)
- Reprompt 解説(Windows Central)
- GeminiJack: the Google Gemini Zero-Click Vulnerability(Noma Security)
- Google Patches Gemini Enterprise Vulnerability Exposing Corporate Data(SecurityWeek)
- ForcedLeak: AI Agent Risks Exposed in Salesforce Agentforce(Noma Security)
- Salesforce Patches Critical ForcedLeak Bug(The Hacker News)
- GrafanaGhost: The Phantom Stealing Your Data(Noma Security)
- GrafanaGhost: Attackers Can Abuse Grafana to Leak Enterprise Data(SecurityWeek)
- Our response to the TanStack npm supply chain attack(OpenAI)
- Our response to the Axios developer tool compromise(OpenAI)
- Six AI Vulnerabilities, Three Failure Patterns(Kiteworks)
- IPA「情報セキュリティ10大脅威 2026」プレスリリース
- OWASP GenAI Exploit Round-up Report Q1 2026
あわせて読みたい
ヘッダー画像: Photo by Tima Miroshnichenko on Pexels