Open Worldwide Application Security Project(OWASP)によると、大規模言語モデル(LLM)や生成AIを介した機密情報の開示は、AIの導入が急増するにつれて、より重大なリスクとなっている。
このため、「機密情報の開示」は、OWASPが更新したLLM向けトップ10リストにおいて、LLMおよび生成AI(GenAI)に対する2番目に大きなリスクに指定され、リストのオリジナル版(2023年版)の6位から順位を上げた。
これは、従業員や顧客とのやり取りの中で、個人を特定できる情報や知的財産を含む、組織が保有する機密データをLLMが露出させるリスクに関するものだ。
Infosecurityの取材に対し、OWASP Top 10 for LLM Projectのプロジェクトリードであるスティーブ・ウィルソン氏は、AI導入の急増に伴い、機密情報の開示がより大きな問題になっていると説明した。
「開発者は、LLMが本質的にプライベートデータを保護すると考えがちですが、モデルの出力や侵害されたシステムを通じて機密情報が意図せず露出した事例が繰り返し見られます」と同氏は述べた。
LLMにおけるサプライチェーンリスクが上昇
リストにおけるもう一つの大きな変更点は、「サプライチェーンの脆弱性」で、5位からこれらのツールに対する3番目に重大なリスクへと上昇した。
OWASPは、LLMのサプライチェーンがさまざまな脆弱性の影響を受けやすく、学習データ、モデル、デプロイメントプラットフォームの完全性に影響を及ぼし得ると強調した。
これにより、偏った出力、セキュリティ侵害、またはシステム障害につながる可能性がある。
ウィルソン氏は、OWASPが最初のリストを公開した当時、サプライチェーン脆弱性をめぐるリスクは主に理論的なものだったと指摘した。しかしその後、開発者や組織は、利用しているオープンソースAI技術に何が統合されているのかについて警戒を怠ってはならないことが明確になったという。
「今や、AI特有のサプライチェーンは、途方もない規模の“ゴミ箱火災”であることが明らかです。毒入りの基盤モデルや汚染されたデータセットが、現実のシナリオで大混乱を引き起こした具体例を私たちは見てきました」とウィルソン氏は述べた。
「プロンプトインジェクション」は、LLMおよびGenAIツールを使用する組織にとっての第1位のリスクとしての位置を維持した。プロンプトインジェクションとは、ユーザーがプロンプトを通じてLLMの挙動や出力を操作し、安全対策を回避して、有害なコンテンツの生成や不正アクセスの可能化といった結果を招くことを指す。
OWASPは、今回の更新は、既存リスクに対する理解の深化と、今日の実世界のアプリケーションでLLMがどのように使われているかに関する重要なアップデートを反映した結果だと述べた。
新たなLLMリスクが追加
更新されたLLM向けトップ10リストには、これらの技術に対する複数の新しいリスクが含まれている。
その一つが8位の「ベクトルと埋め込み」である。これは、ベクトルや埋め込みの生成・保存・取得方法における弱点が悪意ある行為によって悪用され、有害なコンテンツの注入、モデル出力の操作、または機密情報へのアクセスにつながり得ることに関係する。
この項目は、モデル出力を根拠づけるための中核的手法となったRetrieval-Augmented Generation(RAG)やその他の埋め込みベース手法を安全にするためのガイダンスを求めるコミュニティの要望に応えるものだ。
ウィルソン氏は、ベクトルと埋め込みの追加を新リストにおける最大の進展だと述べ、企業向けLLMアプリケーションでは何らかの形のRAGが現在デフォルトのアーキテクチャになっているとした。
「埋め込みベースの手法が、モデル出力を根拠づけるうえで中核になっている現状を反映するため、この項目は追加必須でした。これらの技術を安全にするための詳細なガイダンスを提供することで、組織はAI導入の基盤になりつつあるシステムのリスクに対処できます」と同氏はコメントした。
もう一つの新項目は7位の「システムプロンプトの漏えい」である。これは、モデルの挙動を誘導するために使われるシステムプロンプトや指示に、発見されることを意図していない機密情報が含まれてしまう可能性があるというリスクを指す。
システムプロンプトは、アプリケーション要件に基づいてモデルの出力を導くよう設計されているが、意図せず秘密情報を含み、それが他の攻撃を容易にするために利用される可能性がある。
このリスクは、近年のインシデントにより、開発者がこれらのプロンプト内の情報が秘密のままであると安全に想定できないことが示されたことを受け、コミュニティから強く要望されていた。
GenAIセキュリティへの楽観
ウィルソン氏は、GenAIシステムに重大なリスクと脆弱性があるにもかかわらず、これらのツールの将来のセキュリティについて楽観できる理由があると述べた。
同氏は、OWASPがLLM向けトップ10リストの初版作成を開始した2023年春以降、AI/LLMセキュリティの商用エコシステムが急速に発展している点を強調した。
当時は、オープンソースツールが少数あるだけで、これらのシステムを保護するための商用オプションはほとんど存在しなかった。
「今では、わずか1年半後に、LLMセキュリティのために特別に設計されたツールの健全で拡大する環境(オープンソースと商用の両方)が見られます」とウィルソン氏は述べた。
「開発者やCISOが基礎的なリスクを理解することは依然として重要ですが、これらのツールが利用可能になったことで、セキュリティ対策の実装ははるかに取り組みやすく、効果的になっています。」
OWASP Top 10 LLMリスト
2025年版トップ10リストは、2023年8月に公開されたOWASP Top 10 for LLMのバージョン1.0の更新版として位置づけられる。
このリソースは、開発者、セキュリティ専門家、組織が、重要な生成AIアプリケーションのリスクを特定し緩和するための取り組みの優先順位付けを行う際の指針となるよう設計されている。
リスクは重要度順に列挙され、それぞれに定義、例、攻撃シナリオ、予防策が付されている。
OWASP Top 10 LLMおよびGen AIリスト
2025年版のOWASP Top 10 LLMおよびGen AIリストの全項目は以下の通り:
- プロンプトインジェクション
- 機密情報の開示
- サプライチェーンの脆弱性
- データおよびモデルのポイズニング
- 不適切な出力処理
- 過剰なエージェンシー
- システムプロンプトの漏えい
- ベクトルおよび埋め込みの弱点
- 誤情報
- 無制限の消費
OWASPは、ソフトウェアセキュリティを支援するオープンソースのコンテンツとツールを提供する非営利団体である。OWASPのTop 10は、特定分野で最も一般的なセキュリティ問題をコミュニティ主導でまとめたリストであり、開発者が安全にコードを実装できるよう支援することを目的としている。
翻訳元: https://www.infosecurity-magazine.com/news/owasp-data-exposure-risk-ai/
