CrowdStrikeは、AIエージェントを標的としたプロンプトインジェクションに関する新たな5つの手法を特定しました。企業が自律型AIシステムの導入を加速させる中、攻撃手法が急速に進化している実態を浮き彫りにしています。
2026年7月7日にCrowdStrikeのAIセキュリティ研究チームが公開したレポートで詳細が明らかにされたこれらの手法により、同社が文書化しているプロンプトインジェクションの攻撃手法は200種類を超えることになりました。
ネットワークセキュリティソリューション
この発見は、ファイルへのアクセス、コマンドの実行、外部システムとの連携が可能なAIエージェントが、攻撃者にとって価値の高い標的になりつつあるという懸念を裏付けるものです。
新たなプロンプトインジェクション手法5種類
プロンプトインジェクションは、AI時代における重大なセキュリティ上の課題として浮上しています。特に、単体のチャットボットから、企業のワークフローに組み込まれた完全稼働型のAIエージェントへと状況が移行する中で、その脅威は増しています。
従来の直接的な攻撃とは異なり、近年のプロンプトインジェクション攻撃は間接的な経路を利用することが多く、AIシステムが取り込むウェブページ、メール、API、SaaSコンテンツといったデータソースに悪意ある指示を埋め込む手口が目立ちます。
こうした隠されたペイロードは、ユーザーが明確に認識しないうちにエージェントの挙動を操り、安全対策を回避して、許可されていない動作を引き起こす可能性があります。
今回新たに公表された手法のうち、トリガー起動型ルール追加(PT0201)は、特定の条件やキーワードによって起動されるまで悪意ある指示を潜伏させる遅延実行のロジックを導入しています。この「スリーピングペイロード」方式は、初回の検査時には発見が困難な一方、攻撃者が後からエージェントの挙動を変化させることを可能にします。
もう一つの手法である認知トークン抑制(PT0197)は、モデルの言語的な安全対策を標的にするもので、拒否表現やポリシーに基づく言い回しの使用を制限することで、安全性を欠く応答や曖昧な応答が生じる可能性を高めます。
アルゴリズム的ペイロード分解(PT0200)は高度な回避手法で、悪意ある指示を一見無害に見える複数の要素に分割します。それらがまとめて処理される際、AIはこれらの要素を実行可能なコマンドへと再構成してしまい、従来のフィルタリング機構を事実上迂回してしまいます。
同様に、特殊トークン注入(PT0198)は、AIシステムが使用する構造上の区切り文字や書式上の合図を悪用する手法です。攻撃者はユーザー入力をシステムレベルの指示やツールコマンドに見せかけることができ、これにより権限と実行優先度を引き上げることが可能になります。
5つ目の手法である意図せぬユーザー経由の配送(IM0005)は、ソーシャルエンジニアリングを利用して正規のユーザーを攻撃経路に転じさせる手口です。コピーされたテキストや埋め込みメディア、あるいは改ざんされたブラウザ拡張機能などを介して、悪意あるプロンプトをユーザーにだまして送信させることで、攻撃者は認証済みセッション内でペイロードを実行でき、検知される可能性を抑えつつ攻撃の影響を大幅に高めることができます。
特定された主要な手法:
- トリガー起動型ルール追加(PT0201): 特定のキーワードやイベントによって起動される休眠状態の指示。
- 認知トークン抑制(PT0197): 安全性に関する語彙を制限し、拒否メカニズムを弱体化。
- アルゴリズム的ペイロード分解(PT0200): 悪意あるコマンドを無害な断片に分割し、後で再構成。
- 特殊トークン注入(PT0198): システムレベルの書式を模倣し、指示の優先度を引き上げ。
- 意図せぬユーザー経由の配送(IM0005): 信頼されたユーザーを介したソーシャルエンジニアリングで悪意あるプロンプトを配送。
セキュリティチームにとって、こうした動向は、難読化、遅延トリガー、文脈操作を組み合わせた多段階・複合型のプロンプトインジェクション攻撃への移行を意味しています。
効果的な防御には現在、すべての入力チャネルを網羅した包括的なAI脅威モデリング、間接的・複合的な攻撃シナリオを模擬した高度なレッドチーム演習、そしてAIとのやり取りに対するランタイムでの可視化が求められます。
CrowdStrikeは、検知戦略が単純なパターン認識にとどまらず、連鎖的な手法や文脈を悪用した攻撃にも対応できるよう進化させる必要があると強調しています。
これらの調査結果は、AIエージェント、ツール、データパイプライン全体にわたるプロンプトの流れをリアルタイムで監視し、ポリシー制御を強制し、異常な挙動を検知できる統合型AIセキュリティプラットフォームの必要性が高まっていることを浮き彫りにしています。
ネットワークセキュリティソリューション
Windows、Linux、macOSの仮想マシンでサイバー脅威と対話し、完全な攻撃チェーンを引き起こす - ANY RUNでマルウェア&フィッシングを分析
翻訳元: https://gbhackers.com/crowdstrike-uncovers-5-new-prompt-injection-techniques/