AIプロンプトインジェクションが現実に — マクロによる新たな隠れた脅威

攻撃者は、マクロに悪意のあるプロンプトを埋め込んだり、パーサーを通じて隠されたデータを露出させたりすることで、生成AIを悪用するケースが増えています。

敵対的な戦術の転換は、最近のOPSWATによるファイルセキュリティの現状調査でも指摘されており、AIセキュリティの専門家によれば、企業はソフトウェア開発パイプラインに適用しているのと同様の保護をAI環境にも拡張する必要があるとされています。

「広い意味で、この脅威ベクトル—『マクロに埋め込まれた悪意のあるプロンプト』—は、また新たなプロンプトインジェクション手法です」と、サイバーセキュリティサービス企業Fortraの主任データサイエンティストRoberto Enea氏はCSOに語りました。「この特定のケースでは、ドキュメントマクロやVBA（Visual Basic for Applications）スクリプト内でインジェクションが行われ、ファイルを分析するAIシステムを標的としています。」

Enea氏はさらに「通常、最終的な目的はAIシステムを誤誘導し、マルウェアを安全なものとして分類させることです」と付け加えました。

バグバウンティプラットフォームHackerOneのスタッフイノベーションアーキテクトDane Sherrets氏は、マクロに悪意のあるプロンプトを埋め込むことは、生成AIの能力がシステム自身に対して悪用される典型例だと述べています。

「この手法はマクロを使ってプロンプトインジェクションの一種を実行し、LLMに意図しない動作をさせるような欺瞞的な入力を与えます」とSherrets氏は述べています。「これにより、システムが機密データやセンシティブな情報を出力したり、悪意のある攻撃者がシステムのバックエンドにアクセスできるようになる可能性があります。」

ゼロクリック・プロンプトインジェクション

生成AIを悪用するエクスプロイトやマルウェアの孤立した事例は、今年初めから現れ始めました。

例えば、Aim Securityの研究者は最近、EchoLeak（CVE-2025-32711）というゼロクリックのプロンプトインジェクション脆弱性をMicrosoft 365 Copilotで発見し、これはAIエージェントに対する初の攻撃と説明されています。

「攻撃者は、メールやWord文書などの一般的なビジネスファイルに隠れた指示を埋め込むことができ、Copilotがそのファイルを処理すると自動的にその指示が実行されました」と、Stratascaleのサイバーセキュリティサービス担当副社長Quentin Rhoads-Herrera氏は説明しています。

この脆弱性への対応として、Microsoftはパッチ適用、Copilotへのアクセス制限、共有ファイルからの隠れたメタデータの削除、組み込みAIセキュリティ制御の有効化を推奨しました。

同様の別の攻撃として、CurXecute（CVE-2025-54135）は、ソフトウェア開発環境においてプロンプトインジェクションを通じてリモートコード実行を可能にしました。

「攻撃者は、ユーザーの目に触れない場所にプロンプトインジェクションを埋め込む新しい方法を見つけ続けるでしょうが、それでもLLMによって処理されてしまいます」と、Aim Labsのリサーチ責任者Itay Ravia氏は述べています。「マクロにプロンプトインジェクションを埋め込むのは、最新のトレンドの一つに過ぎません。」

AIベースのマルウェアスキャナーに対するジェダイ・マインドトリック

2025年6月に発見された「Skynet」マルウェアは、AI搭載のセキュリティツールに対するプロンプトインジェクションを試みました。この手法は、AIマルウェア分析システムを操作し、サンプルにマルウェアが検出されなかったと誤認させる、いわば「ジェダイ・マインドトリック」の一種です。

Check Pointの研究者は、このマルウェアはおそらくマルウェア開発者による概念実証実験だったと考えています。

「すでに、悪意のあるプロンプトがドキュメントやマクロ、設定ファイルに隠され、AIシステムを騙してデータを流出させたり、意図しない動作を実行させたりする概念実証攻撃が確認されています」とStratascaleのRhoads-Herrera氏はコメントしています。「また、コードコメントやメタデータ内の隠れた指示でLLMが誤誘導されることも研究者によって示されており、同じ原理が働いています。」

Rhoads-Herrera氏はさらに「これらの手法の一部はまだ研究段階ですが、概念実証を武器化できる攻撃者の手に急速に渡りつつあります」と述べています。

見えにくい脅威

脅威インテリジェンスベンダーSOCRadarのCISOEnsar Seker氏は、プロンプトインジェクションによる生成AIシステムの悪用は、マルウェア配布手法の進化だと述べています。

「もはや単にペイロードを落とすだけでなく、実行時に動作を操作できる動的な指示を作成し、それらの指示を隠したりエンコードしたりして従来のスキャンツールを回避することが重要になっています」とSeker氏は述べています。

セキュリティ運用企業Simbian AIのセキュリティ戦略担当副社長Jason Keirstead氏は、多くのプロンプトインジェクション攻撃が見過ごされていると述べています。

「例えば、人々がリクルートサイトにアップロードする履歴書に悪意のあるプロンプトを仕込むことで、求人ポータルでAIがその履歴書を上位に表示するようにさせる事例があります」とKeirstead氏は説明します。「また、最近ではCometブラウザを標的とした悪意のあるプロンプトも確認されています。」

ステルス性とシステム全体への脅威

AIセキュリティ専門企業SplxAIのリードレッドチームデータサイエンティストDorian Granoša氏は、プロンプトインジェクションが「ステルス性かつシステム全体に及ぶ脅威」になっていると、同社がテストした実際の運用環境で述べています。

「攻撃者は、極小フォントや背景と同化したテキスト、Unicodeタグを使ったASCIIスモグリング、パース時にペイロードを注入するマクロ、さらにはファイルメタデータ（例：DOCXカスタムプロパティ、PDF/XMP、EXIF）などを使って指示を隠します」とGranoša氏は説明します。「これらのベクトルは人間のレビューを回避しますが、LLMによって完全にパース・実行され、間接的なプロンプトインジェクションを可能にします。」

対策

サイバーセキュリティベンダーSecloreのデータセキュリティ責任者Justin Endres氏は、「日常的なファイルがAIシステムへのトロイの木馬になるような悪意のあるプロンプトに対して、従来のツールだけに頼ることはできない」と主張します。

「[セキュリティリーダーは]、AIパーサーに届く前にコンテンツをサニタイズし、モデル入力に厳格なガードレールを設け、重要なワークフローでは人間が関与する多層防御が必要です」とEndres氏は助言します。「そうしなければ、AIの振る舞いを決めるプロンプトを攻撃者が書くことになります。」

これらの攻撃に対抗するには、技術的な防御手順とポリシーコントロールの組み合わせが必要です。例えば：

• 特に信頼できないソースから入るファイルは、企業環境に入るすべてのファイルを深く検査する。「サンドボックス、静的解析、振る舞いシミュレーションツールを使い、マクロや埋め込まれたプロンプトが実際に何をするかを開く前に確認してください」とSOCRadarのSeker氏は助言します。
• マクロ実行を隔離するポリシーを実施する—例えば、アプリケーションのサンドボックス化やMicrosoftの保護ビューなど。
• CDR（コンテンツ無害化・再構築）ツールを評価する。「CDRはアクティブコンテンツなしでファイルを再構築し、埋め込まれた脅威を無効化します」とSOCRadarのSeker氏は説明します。「これは特にPDFやOfficeファイル、その他の構造化ドキュメントに有効です。」
• 生成AIシステムへのすべての入力（プロンプト）をサニタイズする。
• AIシステムに、入力をレビューしガードレールを適用する「検証」コンポーネントを設計段階から組み込む。
• AIの出力を検証する明確なプロトコルを適用する。

StratascaleのRhoads-Herrera氏によれば、最も効果的な対策は可視性、ガバナンス、ガードレールに集約されます。

SOCRadarのSeker氏は、企業はAIパイプラインをCI/CDパイプラインと同様に扱い、ゼロトラスト原則をデータパースやAIワークフローにも拡張すべきだと主張します。実際には、ガードレールの導入、出力検証の徹底、コンテキストフィルターの活用によって、LLMベースのシステムが不正な指示を実行・処理しないようにすることが求められます。

「CISOやレッドチームには、脅威アクターが主流化する前に、AI対応ワークフローを敵対的プロンプトでテストすることを強く推奨します」とSeker氏は締めくくっています。