生成AIが業務に浸透し、レポート作成やコード生成、資料作成をAIに任せることが当たり前になりました。しかしその裏で、「AIが生成したファイルだから安全」という前提が崩れ始めています。
Google Threat Intelligence Groupが報告したPROMPTFLUXや、Microsoft Copilotを狙ったReprompt攻撃など、AIを悪用したマルウェアは、実行時にLLMを呼び出してコードを動的に生成するという新しい段階に入りました。従来のシグネチャ型対策では検知できない“ジャストインタイム型”マルウェアが現実化しています。
さらに、間接プロンプトインジェクションやMorris-IIワームのように、企業内の信頼されたAIエージェントを踏み台にして悪意あるマクロやスクリプトを生成させる手法も確認されています。本記事では、最新の脅威動向、実在する攻撃事例、CDRを中心とした防御技術、そして日本国内のガバナンス動向までを体系的に整理し、生成AI時代におけるファイルセキュリティの最前線を解説します。
生成AI時代に変わるファイルセキュリティの前提
生成AIの本格導入によって、ファイルセキュリティの前提は大きく変わりつつあります。これまで企業は「外部から侵入してくる不審なファイル」を警戒してきました。しかし2026年現在、最大のリスクは内部の信頼されたAIが生成するファイルそのものに移行しています。
Google Threat Intelligence GroupやUnit 42の報告によれば、PROMPTFLUXやPROMPTSTEALといった新種のマルウェアは、LLM APIを通じて実行時にコードを動的生成します。従来のように固定的なマクロや既知のシグネチャを検知するという発想は、もはや通用しません。
この変化は「どこから来たファイルか」ではなく、「どのように生成されたか」へと視点を転換させます。
| 従来型 | 生成AI時代 |
|---|---|
| 外部からの添付ファイルが主な脅威 | 内部AIが生成した成果物も脅威 |
| 静的マクロ・既知パターン | 実行時に動的生成されるコード |
| シグネチャ検知が中心 | 構造レベルでの無害化が前提 |
特に深刻なのは、間接プロンプトインジェクションです。OWASPのLLMセキュリティ指針でも最重要リスクに挙げられている通り、攻撃者はWebページやPDF内に命令文を埋め込みます。そして企業のAIアシスタントがそれを読み込む過程で、悪意あるマクロやスクリプトを含むファイルを「正当な業務成果物」として生成してしまいます。
つまり、生成AIは攻撃対象であると同時に、攻撃の媒介者にもなり得るのです。これは境界型防御モデルの限界を露呈させました。ファイアウォールやメールフィルタでは、AIの内部生成プロセスまでは制御できません。
FortinetやCheck Pointが解説するCDR(Content Disarm and Reconstruction)は、その象徴的な技術です。ファイルを信頼せず、マクロや埋め込みオブジェクトを除去したうえで再構築するというアプローチは、AI出力物にも適用され始めています。
さらに、GartnerはAIガードレール不備に起因する法的請求が急増すると予測しています。これは単なる技術課題ではなく、経営リスクでもあります。AIが生成したファイルが取引先に被害を与えた場合、運用企業の責任が問われる可能性があります。
これからの前提は明確です。AIが生成したから安全なのではなく、AIが生成するからこそ疑う。この意識転換こそが、生成AI時代におけるファイルセキュリティの出発点になります。
静的マクロからジャストインタイム型マルウェアへの進化
従来のマクロマルウェアは、Office文書に埋め込まれたVBAコードという「完成済みのペイロード」を前提としていました。
コードは静的であり、ハッシュ値や特徴的な文字列パターンをもとにシグネチャ検知が可能でした。
しかし2026年現在、その前提は崩れつつあり、マルウェアは「事前に存在するもの」から「実行時に生成されるもの」へと進化しています。
Google Threat Intelligence Groupの報告によれば、PROMPTFLUXのような新世代マルウェアは、感染時点では明確な悪意あるコードを保持しない場合があります。
代わりに、LLM APIへ問い合わせるための情報を内部に持ち、実行時に「現在の環境に適応したコードを生成せよ」と指示します。
その結果、攻撃コードはクラウド上のAIによってその場で生成され、即座に実行されます。
| 比較項目 | 従来型マクロ | ジャストインタイム型 |
|---|---|---|
| コードの性質 | 静的・固定 | 実行時に動的生成 |
| 検知方法 | シグネチャ中心 | 事実上困難 |
| 適応能力 | 限定的 | 環境依存で最適化 |
この変化の本質は、ポリモーフィズムが「自動化」された点にあります。
従来もコード難読化は存在しましたが、攻撃者が手作業で変種を作る必要がありました。
現在はLLMが毎回異なる変数名や構造を持つコードを生成するため、「一度きりのマルウェア」が無数に生まれます。
さらに深刻なのは環境適応能力です。
感染端末のOSバージョンや導入済みセキュリティ製品の情報をプロンプトに含めることで、その環境に合わせた回避コードが生成されます。
SiliconANGLEが報じた通り、これは「自己進化型マルウェアの時代」の到来を意味します。
このジャストインタイム化は、防御側の前提も変えます。
シグネチャを配布して対抗するモデルでは、生成スピードに追いつけません。
実際、PROMPTFLUXは1時間ごとに自身の構造を書き換える実験的挙動も確認されています。
結果として、マクロは「文書に付属する付加機能」ではなく、AIを介して呼び出されるオンデマンド型攻撃モジュールへと進化しました。
静的ファイルの世界から、動的生成の世界へ。
このパラダイムシフトこそが、2026年のマルウェア脅威を理解するうえで最も重要な転換点です。
PROMPTFLUXとPROMPTSTEALに見るAI悪用の実態
2026年の脅威ランドスケープにおいて、PROMPTFLUXとPROMPTSTEALは「AIが攻撃を補助する段階」から「AIが攻撃の中核を担う段階」へ移行した象徴的な事例です。Google Threat Intelligence Groupの分析によれば、これらは外部LLM APIをリアルタイムに呼び出し、実行時に悪性コードを生成・再構築する能力を持ちます。
注目すべきは、マルウェア本体に完成したペイロードが含まれていない点です。従来のように静的なシグネチャで検出する前提が崩れ、攻撃コードは「クラウド上のAIからその都度取り寄せられる」構造へと変化しています。
| 項目 | PROMPTFLUX | PROMPTSTEAL |
|---|---|---|
| 主な特徴 | Gemini APIを利用しコードを動的再生成 | 外部LLMにコマンド生成を委任 |
| 検知回避手法 | 1時間ごとの自己書き換え | 実行時に窃取コマンドを生成 |
| 脅威の本質 | 完全ポリモーフィズム化 | 静的解析の無力化 |
PROMPTFLUXは、VBScriptドローッパーとして報告され、Google Gemini APIを通じて自身のコードを再生成します。The Hacker Newsなどの報道によれば、機能を維持したまま変数名やロジック構造を全面的に変更するようLLMに指示し、事実上「毎回異なるマルウェア」として振る舞います。これはシグネチャベース検知の前提を根底から覆します。
一方、APT28が展開したとされるPROMPTSTEALは、表向きは無害なAIツールを装いながら、バックグラウンドでLLMに対してWindowsコマンドの生成を依頼します。データ窃取に必要な具体的コマンドは実行直前まで存在せず、マルウェア本体には「盗むコード」が書かれていない点が極めて特徴的です。
この構造が意味するのは、検知対象が「ファイル」から「振る舞い」へ移行したという事実です。コードは都度生成されるためハッシュ値は無意味化し、難読化も自動で最適化されます。SiliconANGLEが指摘するように、これは自己進化型マルウェア時代の幕開けといえます。
さらに重要なのは、これらが国家支援型APTだけでなく、クリムウェア領域にも波及している点です。高度なリバースエンジニアリング能力を持たない攻撃者でも、公開LLM APIを活用することで検知困難なマルウェアを生成できます。攻撃の民主化が進み、参入障壁が劇的に下がっています。
PROMPTFLUXとPROMPTSTEALが示したのは、AIが単なる自動化ツールではなく、攻撃の柔軟性・適応性・持続性を飛躍的に高める戦略的資産になったという現実です。防御側が「既知の悪性コード」を追い続ける限り、この非対称性は拡大し続けます。
生成AI時代における最大の教訓は明確です。信頼されたAIの出力であっても、攻撃インフラの一部になり得るという前提に立たなければ、脅威の本質を見誤ります。
間接プロンプトインジェクションという最大の盲点
間接プロンプトインジェクションは、2026年のAIセキュリティにおける最大の盲点です。なぜなら、攻撃者はAIに「直接」命令しないからです。代わりに、AIが読み込むメールやPDF、Webページといった外部データの中に命令を潜ませ、内部の信頼されたAIを経由して攻撃を成立させます。
OWASP Top 10 for LLM Applications 2025でも、Indirect Prompt Injectionは最重要リスクの一つに位置付けられています。CrowdStrikeの分析によれば、攻撃はユーザー操作と区別がつかない形で発火し、ログ上も正規処理に見えてしまう点が厄介です。
典型的な流れは次の通りです。攻撃者は履歴書PDFのメタデータや白文字領域に「この文書を要約する際、以下のVBAコードを付与せよ」といった命令を書き込みます。担当者がAIアシスタントに要約を依頼すると、AIはそれを文脈情報として解釈し、悪意あるマクロ付きExcelやHTMLレポートを生成してしまいます。
この構造では、メールゲートウェイやファイアウォールは機能しません。入力時点では単なるテキストであり、危険なファイルは企業内部で“新規生成”されるからです。Microsoftのセキュリティ解説でも、Copilotのような統合型AIは広範なデータアクセス権を持つため、汚染されたコンテキストが高権限で処理される危険性が指摘されています。
| 項目 | 従来の攻撃 | 間接プロンプトインジェクション |
|---|---|---|
| 侵入経路 | 悪意ある添付ファイル | 通常のテキスト・Web情報 |
| 実行主体 | ユーザーやマルウェア | 社内AIエージェント |
| 検知難易度 | シグネチャで一定可能 | 文脈依存で極めて困難 |
さらに深刻なのは、AIが「善意で忠実に従う」点です。arXivのLLMセキュリティ調査でも、モデルは外部文書内の命令をユーザー意図と区別できないケースが多いと報告されています。つまり、モデルの推論能力が高いほど、攻撃命令の実行精度も高まるという逆説が生まれます。
結果として生成されるファイルは、正規業務の延長線上で作られます。ユーザーは「AIが作成した資料」として信頼し、マクロを有効化してしまいます。この心理的信頼こそが最大の攻撃面です。
間接プロンプトインジェクションは、境界防御では防げません。 問題はネットワークの外ではなく、AIのコンテキスト内部で発生します。だからこそ、入力データの検査、出力ファイルの無害化、そしてAIに与える権限の最小化という三位一体の対策が不可欠になります。
AIを導入した瞬間、企業は「内部にもう一人の高権限ユーザーを追加した」ことになります。そのユーザーが騙されやすい存在であるという事実を直視できるかどうかが、2026年のセキュリティ成熟度を分ける決定的な差になります。
Microsoft Copilotを狙うReprompt攻撃のメカニズム
Reprompt攻撃は、Microsoft Copilotの「自律的に情報を取得し、判断する」という設計思想そのものを逆手に取る攻撃です。Varonisの調査によれば、この攻撃はユーザーのワンクリックだけで静かにデータを外部へ送信できる点が最大の特徴です。
従来のフィッシングのようにマルウェアを直接送り込むのではなく、Copilotの内部処理フローに“再プロンプト”を差し込むことで、AI自身に情報収集と送信を実行させます。つまり、攻撃者はコードではなく「指示」を武器にします。
Reprompt攻撃の基本構造は次の通りです。ユーザーが悪意あるリンクやファイルにアクセスすると、その中に埋め込まれた隠しプロンプトがCopilotに読み込まれます。Copilotはそれを通常のコンテキスト情報と区別できず、追加の指示として解釈します。
その指示は多くの場合、「外部サーバーから追加の指示を取得せよ」という内容を含みます。Copilotは正規の処理の一環として外部へリクエストを送り、攻撃者の管理するサーバーから新たな命令を受信します。
この“再プロンプト”のループが、攻撃の持続性を生みます。ユーザーは最初のクリック以降、何も操作していないにもかかわらず、Copilotがバックグラウンドで追加指示を実行し続ける状態になります。
| 段階 | Copilotの動作 | 攻撃者の意図 |
|---|---|---|
| 初期誘導 | リンクや文書を読み込む | 隠しプロンプトを注入 |
| 再プロンプト | 外部サーバーへ問い合わせ | 追加命令を取得 |
| 実行 | 社内データを検索・要約 | 機密情報を抽出 |
| 送信 | 結果を外部へ送信 | 静かな情報窃取 |
特に問題視されているのが、データ漏洩防止ガードレールの回避です。研究報告では「同じ操作を2回実行せよ」といった単純な指示を組み込むことで、検知ロジックをすり抜ける事例が確認されています。これはCopilotの推論過程における優先順位付けの癖を悪用したものです。
さらに重要なのは、攻撃コードがエンドポイントに残らない点です。従来のマルウェアと異なり、実体はプロンプトの連鎖であり、実行ロジックはクラウド側のAI処理に分散しています。そのため、シグネチャベースの検知やファイルスキャンでは痕跡を捉えにくくなります。
Microsoftは公式ドキュメントで間接プロンプトインジェクションへの防御策を提示していますが、Repromptはその一段上を行く「持続型プロンプト連鎖攻撃」と位置づけられます。AIの自律性、外部接続性、組織内データアクセス権限という三要素が重なることで、単なる入力汚染が高度なデータ窃取へと転化します。
Repromptの本質は、Copilotを侵害するのではなく、Copilotに“正しく”動いてもらうことにあります。攻撃は異常な挙動ではなく、設計どおりの振る舞いの中で完遂されるため、防御側にはアーキテクチャレベルの再設計が求められます。
Morris-IIワームとRAG汚染のリスク
Morris-IIワームは、生成AI時代における自己増殖型マルウェアの象徴的存在です。従来のワームがOSやネットワークの脆弱性を突いて拡散したのに対し、Morris-IIはRAG(検索拡張生成)システムそのものを感染経路として利用します。
arXivの大規模言語モデルに関するセキュリティサーベイでも、RAGに対するデータ汚染は重大な構造的リスクとして位置付けられています。問題は単なる不正出力ではなく、知識基盤そのものが攻撃の媒体になる点にあります。
攻撃の流れは比較的シンプルですが、影響は深刻です。まず攻撃者は、悪意あるプロンプトを含んだメールや文書を組織内に送り込みます。その文書がRAGシステムによってインデックス化されると、汚染は静かに始まります。
その後、別の利用者が通常の業務クエリを実行した際、検索結果として感染済み文書が取得されます。ここで埋め込まれた命令がコンテキストに取り込まれ、モデルがそれを正当な指示と誤認します。
| 段階 | 発生ポイント | リスク内容 |
|---|---|---|
| 埋め込み | メール・共有文書 | 悪意ある命令を不可視で挿入 |
| インデックス化 | RAGデータベース | 汚染データが正規情報として保存 |
| 検索・生成 | 通常クエリ実行時 | 命令が実行され自己複製 |
Morris-IIの本質は、出力の中に自分自身のコピーを含めさせる自己複製型プロンプトにあります。生成結果がメール返信やナレッジ投稿として保存されれば、それ自体が次の感染源になります。
SentinelOneのAIワーム解説によれば、こうした攻撃は従来のネットワーク境界防御では検知が困難です。なぜなら通信やファイルは正規の業務フロー内で生成されるからです。
さらに深刻なのがRAG汚染の持続性です。一度ベクトルデータベースに格納された悪性コンテンツは、削除されない限り半永久的に検索対象となります。これは従来の一過性マルウェアとは異なる「知識層の慢性疾患」とも言える状態です。
OWASPのGenAIリスク分類でも、外部データの信頼境界が崩れることが最重要課題とされています。RAGは外部情報を積極的に取り込む設計である以上、データ取り込み段階での検証と分離が不可欠です。
重要なのは、RAGが高度であるほど被害規模も拡大しやすいという逆説です。検索精度が高いほど、汚染コンテンツも的確に再利用されます。利便性の向上がそのまま拡散効率の向上につながる構造的ジレンマを抱えているのです。
AIシステムを安全に運用するには、モデルだけでなく知識ベース全体を「攻撃対象」として扱う視点が求められます。Morris-IIワームは、その転換を迫る警鐘と言えます。
ポリグロットファイルと隠されたペイロードの脅威
ポリグロットファイルとは、1つのファイルが複数の形式として同時に解釈される特殊な構造を持つファイルを指します。たとえばPDFとして閲覧すると通常の履歴書に見える一方で、ZIPやスクリプトエンジンで処理すると別の実行コードが現れる、といった挙動を示します。
2026年現在、この技術は生成AIと結びつくことで高度化しています。arXivで公開されたLLMによるマルウェア解析研究では、大規模言語モデルが複雑なバイナリ構造の理解と再構成において高い能力を持つことが示されています。攻撃者はこの特性を逆手に取り、AIに対して複数フォーマットを横断する整合的な構造を生成させています。
代表的な特徴は次のとおりです。
| 特徴 | 内容 | リスク |
|---|---|---|
| 多重解釈性 | PDF・ZIP・画像など複数形式で有効 | 検査エンジンの盲点を突く |
| メタデータ悪用 | コメント欄や未使用領域にコード埋込 | 静的検査で見落とされやすい |
| 条件付き発火 | 特定環境下のみ抽出・実行 | サンドボックス回避 |
特に問題なのは「隠されたペイロード」です。表面上は無害な文書でも、メタデータ領域やファイル末尾の未使用セクションにスクリプトやシリアライズコードが埋め込まれます。通常の閲覧では実行されませんが、AIツールや自動処理パイプラインが内部構造を解析・再構成する際に抽出されることがあります。
OWASPの生成AIセキュリティ指針でも、不適切な出力処理や内部データ再構成が新たな攻撃面になると警告されています。たとえば、社内AIが「このPDFを要約してください」と処理する過程で、埋め込まれたコード断片をテキストとして抽出し、それを別のHTMLレポート内に再配置してしまうケースです。攻撃コードが“AIの正規出力”として再包装される点が最大の脅威です。
さらに、生成AIは条件分岐や環境依存ロジックを含むペイロードを動的に設計できます。特定のOS、言語設定、日時条件などが一致した場合のみ有効化する構造を持たせることで、検証環境では無害に見せ、本番環境でのみ作動させることも可能になります。
この結果、従来の拡張子検査やシグネチャベース検知では対応が困難になります。ファイル形式の真正性ではなく、構造の完全再構築と不要領域の除去が前提となる時代に入っています。ポリグロットファイルは単なる技術的トリックではなく、生成AI時代における「信頼の境界」を揺さぶる戦略的攻撃手法へと進化しているのです。
CDR(Content Disarm and Reconstruction)が中核になる理由
生成AIが自律的にマクロやスクリプトを生成し、しかも実行時に書き換える時代において、なぜCDR(Content Disarm and Reconstruction)が中核になるのでしょうか。結論は明確で、「検知」という前提そのものが崩れているからです。
Google Threat Intelligence Groupが報告したPROMPTFLUXのように、マルウェアがLLM APIを用いてコードを都度生成・変形する場合、静的シグネチャもハッシュ値も意味を持ちません。毎回異なるコードが出力される以上、「既知・未知」で分類する従来型防御は構造的に不利です。
CDRはこの前提を捨てます。脅威を当てにいくのではなく、ファイルを一度完全に分解し、安全な要素だけで再構築するという思想です。FortinetやCheck Pointが解説する通り、CDRは検知率ではなく「危険要素の排除率」を設計思想にしています。
| 観点 | 従来型AV/EDR | CDR |
|---|---|---|
| 前提 | 悪性コードを識別できる | すべてのファイルは潜在的に不正 |
| 未知のAI生成コード | 検知困難 | マクロ等を無条件除去 |
| ポリモーフィズム耐性 | 低い | 高い(構造ベース処理) |
特に重要なのは、AIの出力物すらゼロトラストで扱うという発想です。間接プロンプトインジェクションやReprompt攻撃のように、信頼されたAIが悪意あるファイルを“善意で”生成するケースでは、生成元の信頼性は安全性を保証しません。
CDRは「誰が作ったか」ではなく「何が含まれているか」に着目します。Excelであればマクロ、外部リンク、埋め込みオブジェクトを分離し、ポリシーに基づき削除したうえでOpen XML仕様に準拠して再構築します。このプロセスでは、難読化やVibe Coding的な曖昧生成も意味を持ちません。
さらに見逃せないのが、AIモデルファイル自体のリスクです。Opswatが指摘するように、pickleや.pt形式はデシリアライズ時に任意コード実行の可能性があります。CDR的アプローチでモデルファイルを解析・無害化する動きは、生成物だけでなく「生成器そのもの」を守る発想へと拡張されています。
OWASP GenAI Security Projectが強調する出力検証の重要性とも整合しますが、CDRは検証を超えて「安全な状態への強制変換」を行います。だからこそ、ジャストインタイム型マルウェアや自己進化型スクリプトが前提となる2026年の環境では、CDRが防御アーキテクチャの中心に据えられるのです。
主要CDR・AI防御ソリューションの比較と選定ポイント
生成AIが動的にマクロやスクリプトを生成する時代において、CDRおよびAI防御ソリューションの選定は「導入の有無」ではなく「どの思想を採用するか」が問われます。Google Threat Intelligence Groupが報告するPROMPTFLUXのようなジャストインタイム型マルウェアは、従来のシグネチャ検知を前提とした製品では本質的に対抗が困難です。
選定の第一基準は「検知中心か、無害化中心か」です。CDRは検知精度に依存せず、ファイルを分解し安全な要素のみで再構築します。FortinetやCheck Pointの解説が示す通り、このアプローチは未知・亜種・AI生成型の脅威に対しても有効性を維持できます。
| ベンダー | アプローチ特性 | AI時代への適合ポイント |
|---|---|---|
| Votiro | Positive Selection型CDR | AI学習前データの無害化、PIIマスキング統合 |
| Glasswall | 仕様準拠型Deep CDR | Known Good再構築、未知構造のリスク評価 |
| Opswat | Deep CDR+マルチスキャン | AIモデルファイル(.pt等)の解析対応 |
| Deep Instinct | 予測型DL防御 | 実行前20ms未満解析、未知脅威高精度遮断 |
第二の選定軸は「AIパイプライン内部に組み込めるか」です。間接プロンプトインジェクションは内部生成物にマルウェアを混入させます。したがって、メールゲートウェイだけでなく、RAGやCopilot出力直後にCDRを挿入できる構成が不可欠です。MicrosoftやOWASPのガイダンスでも、出力処理の厳格化が強調されています。
第三の観点はAIモデルファイル自体の安全性です。Opswatが指摘するように、pickleやPyTorch形式はデシリアライズ時にコード実行を伴う可能性があります。生成物だけでなく、学習済みモデルの流通経路も保護対象に含める必要があります。
最後に、CDR単体か、多層型かという判断も重要です。Deep Instinctのような実行前予測型防御とCDRを併用することで、再構築前の異常検知と最終無害化を両立できます。Gartnerが指摘するAI関連訴訟リスクの増加を踏まえれば、技術的有効性だけでなく、監査証跡や説明可能性まで含めた評価が経営判断に直結します。
製品比較では機能一覧よりも、「自社のAI利用形態にどの層で組み込むのか」というアーキテクチャ視点で評価することが、失敗しない選定の鍵になります。
RAG・エージェント型AI時代のアーキテクチャ防御設計
RAGやエージェント型AIの普及により、防御の主戦場はエンドポイントからアーキテクチャ全体へと移行しています。Google Threat Intelligence GroupやOWASP GenAI Security Projectが指摘するように、プロンプトインジェクションや自己増殖型ワームは、モデル単体ではなく「構成全体の隙」を突いてきます。
重要なのは、AIを賢くすることではなく、AIを安全に失敗させる設計です。そのためには、RAGパイプライン、外部接続、権限管理を前提から再設計する必要があります。
RAGパイプラインの分離と検疫
| レイヤー | 主なリスク | 防御設計 |
|---|---|---|
| データ取得 | 間接プロンプト注入 | 事前スキャンとサニタイズ |
| 検索・統合 | 汚染ドキュメント混入 | サンドボックス実行 |
| 出力生成 | 悪性コード再構成 | 出力検証とCDR連携 |
Morris-IIワームの分析で示されたように、RAGのインデックス層が汚染されると、後続ユーザーの全クエリが感染ベクトルになり得ます。したがって、検索対象データは本番環境と物理的または論理的に分離し、LLMの実行環境は外部通信を制限したサンドボックス内に閉じ込める設計が不可欠です。
さらに、取得ドキュメントに対する「Pre-flight Scan」を標準化し、命令形や外部送信指示などの不審パターンを検疫することで、コンテキスト汚染の連鎖を断ち切れます。
エージェント型AIの最小権限化
Reprompt攻撃が示したのは、自律エージェントが外部サーバーと継続通信することで持続的侵害が成立するという事実です。Microsoftのセキュリティ文書でも強調される通り、エージェントにはタスク単位で最小限のAPIトークンとファイルアクセスのみを付与するべきです。
「便利だから管理者権限を与える」という設計は、2026年の脅威環境では致命的です。高リスク操作、たとえば大量メール送信やファイル削除は、Human-in-the-Loop承認を必須化し、実行前にワークフローで停止させます。
出力を信用しないアーキテクチャ
OWASPが警告するImproper Output Handlingの問題に対処するため、LLM出力はそのままアプリケーションに渡してはいけません。HTMLやスクリプトは必ずエスケープ処理を行い、ファイル生成時はCDRエンジンを経由させます。
この「入力・処理・出力」の三点すべてに検疫層を設ける多層構造こそが、RAG・エージェント型AI時代の標準設計です。単一の検知エンジンに依存するのではなく、構造的に悪性挙動が成立しない環境を作ることが、アーキテクチャ防御の本質です。
シャドーAIとブラウザ経由のデータ漏洩リスク
生成AIの業務活用が進む一方で、企業が直面している盲点が「シャドーAI」とブラウザ経由のデータ漏洩です。公式に承認されていない生成AIツールを従業員が独自に利用することで、機密情報が外部クラウドへ送信され、さらに加工されたファイルとして社内に戻ってくるリスクが現実化しています。
特に問題となるのは、ブラウザがAI利用の主要インターフェースになっている点です。Dtex Systemsは「ブラウザこそが新たな攻撃対象領域になっている」と指摘しており、生成AIサイトへのコピー&ペーストやファイルアップロードが、従来のエンドポイント監視をすり抜けるケースを報告しています。
たとえば、従業員が社内の顧客リストやソースコードを個人アカウントの生成AIに貼り付けて要約させた場合、そのデータは外部環境に送信されます。その後、AIが生成したレポートやスクリプトをダウンロードし、社内で再利用すれば、外部由来のコードやリンクが内部環境に持ち込まれることになります。
Netskopeの2026年クラウド脅威レポートによれば、企業環境から多数の生成AIアプリへのアクセスが観測されており、その相当数が企業未承認のサービスです。これは単なる利用状況の問題ではなく、監査ログが取得できない“ブラックボックス通信”が常態化していることを意味します。
| リスク領域 | 具体的挙動 | 想定される影響 |
|---|---|---|
| データ持ち出し | 機密情報の貼り付け・アップロード | 個人情報・営業秘密の外部保存 |
| 汚染ファイル流入 | AI生成コード・マクロのダウンロード | 内部システムでの実行リスク |
| 認証情報漏洩 | ブラウザセッションの悪用 | クラウド横断的な不正アクセス |
さらにarXivの研究では、ブラウジング機能を持つAIエージェントが外部ページの内容をそのまま内部処理に取り込むことで、意図せず悪意ある指示を実行する危険性が示されています。これは間接的なデータ漏洩や不正送信を誘発する構造的問題です。
対策として重要なのは、ブラウザレイヤーでの統制です。最新のブラウザ型DLPは、生成AIサイトへの特定データの貼り付けやアップロードをリアルタイムで検知・遮断できます。またCASBを活用すれば、企業契約アカウントと個人アカウントを識別し、未承認利用を制御できます。
加えて、生成物のダウンロード時にも検査を行う設計が不可欠です。AIが生成したファイルであっても無条件に信頼せず、無害化やポリシーチェックを経由させることで、ブラウザを起点とした往復型のデータ漏洩ループを断ち切ることができます。
生成AIの利便性はブラウザから始まり、同時にリスクもブラウザから拡大します。シャドーAIを可視化し、通信と生成物の双方を管理するアーキテクチャこそが、2026年の企業防御の前提条件になっています。
日本国内のAIガイドラインと法的責任の最新動向
生成AIの業務活用が急拡大する中で、日本国内ではガイドライン整備と法的責任の明確化が急速に進んでいます。特に2025年以降は、技術論だけでなく「企業はどこまで責任を負うのか」という論点が前面に出ています。
独立行政法人情報処理推進機構(IPA)は2025年にAI事業者ガイドラインを改定し、導入時のリスク評価に加え、運用段階での継続的なリスク管理を強く求めました。これは単なる努力目標ではなく、実質的に企業の管理責任を前提とした内容になっています。
さらに、生成AI開発契約に関する指針も公表され、成果物の安全性や瑕疵が発覚した場合の責任分界点が整理されました。AIが生成したファイルやコードに脆弱性が含まれていた場合、誰がどの範囲で責任を負うのかが、契約レベルで問われる時代に入っています。
| 領域 | 主な論点 | 企業に求められる対応 |
|---|---|---|
| 導入・設計段階 | リスクアセスメントの実施 | 事前評価と記録の保存 |
| 運用段階 | 継続的モニタリング | ログ管理と改善プロセス |
| 契約・成果物 | 瑕疵責任の所在 | 責任範囲の明文化 |
また、データサイエンティスト協会は2025年版スキルチェックリストで「ガバナンス」や「社会実装時の安全性確保」を明示的に追加しました。これは、技術力だけでなくリスク統制能力を持つ人材が標準要件になったことを意味します。
法的リスクの側面では、Gartnerが2026年末までにAI関連の重大な法的請求が世界で2,000件を超える可能性を指摘しています。日本CISO協会(AIガバナンス協会)の提言でも、AIが自律的に生成した成果物によって第三者に損害が発生した場合、運用企業が善管注意義務違反を問われ得ると示唆されています。
とりわけ問題になるのは、社内AIが生成したファイルにマクロやスクリプトが含まれ、それが取引先に被害を与えたケースです。この場合、内部統制や検証プロセスが不十分であれば、過失責任を問われる可能性があります。
そのため多くの企業では、AI利用規程の明文化、生成物の検証フロー整備、ログの長期保管、そしてサイバー保険の補償範囲見直しを進めています。技術対策と法務・コンプライアンス部門の連携が不可欠になっています。
日本国内の最新動向は明確です。AI活用は「実験」から「説明責任を伴う社会実装」へ移行しました。ガイドラインは単なる参考資料ではなく、将来の訴訟や監督当局対応における判断基準になり得ます。経営層が主導し、リスク管理を組織文化として定着させられるかどうかが、今後の競争力と法的安全性を左右します。
参考文献
- Google Cloud Blog:GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools
- The Hacker News:Google Uncovers PROMPTFLUX Malware That Uses Gemini AI to Rewrite Its Code Hourly
- CrowdStrike:Indirect Prompt Injection Attacks: Hidden AI Risks
- Varonis:Reprompt: The Single-Click Microsoft Copilot Attack that Silently Steals Your Personal Data
- Cyber Magazine:Morris II Worm: AI’s First Self-Replicating Malware
- OWASP Gen AI Security Project:LLM05:2025 Improper Output Handling
- IPA(独立行政法人情報処理推進機構):AI事業者ガイドラインの令和6年度更新内容
- Gartner:Strategic Predictions for 2026: How AI’s Underestimated Influence Is Reshaping Business