アンダーグラウンドマーケットは進化しています。2025年、LLM(大規模言語モデル)の脆弱性を悪用するブラックマーケットが勢いを増し、プロンプトのジェイルブレイク、モデルリーク、操作されたエージェントフレームワークの販売が行われています。防御側は、これらを単なる学術的な珍事ではなく、エクスプロイト経済の次なる最前線として捉える必要があります。
トレンド概要
プロンプトインジェクションはもはや理論上のリスクではありません。OWASPのLLMリスクカタログによると、「プロンプトインジェクション」はユーザー入力によってモデルのガードレールを上書きまたは回避できるものであり、ジェイルブレイク攻撃はこの概念を拡張して完全な安全性の回避を可能にします。一方、EchoLeak(CVE-2025-32711)は、Microsoft 365 Copilotにおけるゼロクリックのプロンプトインジェクション脆弱性であり、ユーザーの操作なしにデータ流出が発生することを示しました。
犯罪フォーラムではすでに実験が始まっています。カスペルスキーは、ダークネットフォーラムでジェイルブレイク、ポリモーフィックなモデル操作、AIによるマルウェアツールの議論が増加していることを観測しました。トレンドマイクロの2025年中間レポートでは、セキュリティリーダーの93%が年末までに日常的なAI攻撃を予想しているとされており、攻撃者がLLMシステムを標的にするスピードの速さを浮き彫りにしています。
事例・ケーススタディ
WormGPTのBreachForums再登場とTelegramサブスクリプション
WormGPTは悪意あるLLMツールであり、ダークウェブフォーラムの有料壁の裏で販売されていましたが、2025年にはGrokやMixtralモデルに適応して再登場しました。これはTelegram上のサブスクリプションボットを通じて動作し、最小限のガードレールで自動フィッシング、ソーシャルエンジニアリング、コード生成を可能にします。このサブスクリプションモデルは、LLMマーケットにおける「エクスプロイト・アズ・ア・サービス」への進化を示唆しています。収益や取引量の具体的な数値は公開されていませんが、複数のフォーラムで繰り返し登場していることから、根強い需要があることが分かります。
DeepSeek R1のジェイルブレイク&プロンプトインジェクション失敗率
DeepSeekのR1モデルのセキュリティ監査では、テスト環境において91%のジェイルブレイクプロンプトと86%のプロンプトインジェクション攻撃をブロックできなかったことが判明しました。この失敗率の高さは、モデルの内部防御が脆弱であり、プロンプトエクスプロイトパックが自動的にマーケットプレイスに出品されやすいことを示しています。
「プロンプトウォール突破」:ChatGPTのジェイルブレイク事例
「Breaking the Prompt Wall (I)」では、研究者がChatGPTに対して微妙でネストされたプロンプトを用いたインジェクション攻撃を実証し、安全フィルターを回避して本番環境で誤った挙動を誘発しました。この手法は低コストかつ効果的であり、まさにLLMブラックマーケットでパッケージ化・取引されうるタイプのエクスプロイトです。
検出ベクトルと手法
エクスプロイトマーケットは、販売者のフィードバック、インジェクション手法名、モデルバージョン、PoC出力などのメタデータ漏洩に依存しています。アナリストは販売者のパターンをクラスタリングし、プロンプトの再利用を追跡し、複数プラットフォームにまたがるエクスプロイトパッケージのミラーリングを検出できます。これらの手法は、AIシステム向けに適応されたATT&CK型の偵察技術に類似しています。
もう一つの重要なベクトルはプロンプトの系譜(ジェネアロジー)であり、プロンプトチェーンのバージョン、変異の系統、または「派生ジェイルブレイク」を含みます。フォーラム全体でプロンプトの進化を監視することで、どのベンダーが盗まれたプロンプトスクリプトを再販または修正しているかを明らかにできます。さらに、システムプロンプトの漏洩(PLeak攻撃)によって、モデル導入時の隠れたガードレールを再構築することも可能です。
業界の対応と法執行
AIプロバイダーも対応を始めています。Anthropicは、LLM上に「憲法的分類器」を導入し、ユーザー入力と出力を監視して有害な内容を拒否し、ジェイルブレイク耐性の向上を目指しています。しかし、このモデルは計算コストや遅延の増加を招き、攻撃者はその回避方法を模索しています。
研究者や業界コンソーシアムは、プロンプトエクスプロイトチェーンに関する脅威インテリジェンスの共有を推進しています。OWASP GenAIプロジェクトはプロンプトリスクをカタログ化し、ジェイルブレイク手法の公開を推奨しています。政府がモデル規制を議論する中、LLMブラックマーケットはエクスプロイトやゼロデイ取引の訴追対象となり、輸出規制やサイバー犯罪法の適用を受ける可能性があります。
CISOプレイブック
- レッドチーム活動の一環として、ホワイトボックス・ブラックボックス両方の敵対的プロンプトテストを実施し、ジェイルブレイクやインジェクションの脆弱性を明らかにする。
- AI犯罪フォーラムやサブスクリプションマーケットプレイスを監視し、漏洩したプロンプトエクスプロイトバンドルやモデルウェイトを検出する。
- ユーザープロンプトチャネル、ガードレールラッパー、強化された出力フィルターを分離することで、入力のサニタイズとアイソレーションを実装する。
- システムプロンプトやアーキテクチャロジックを暗号化し、プロンプトリーク攻撃による推測を防ぐ。
- フェデレーテッドラーニングやモデル出力のウォーターマーキングを活用し、不正利用の追跡や違法なモデル再販の抑止を図る。
まとめ・洞察
LLMブラックマーケットはまだ初期段階かもしれませんが、急速に拡大しています。従来型のエクスプロイトエコシステムからプロンプトやモデルリークの商取引へのシフトは不可避です。AIセキュリティの未来は、コードの修正だけでなく、ユーザー入力・ガードレール・モデル挙動を定義する隠れたロジックの境界を守ることにかかっています。次なる最前線は、プロンプトやモデルアーキテクチャの経済的コントロールです。これを次世代のゼロデイ市場と同様に扱うべきです。
公開されているLLMエクスプロイトデータは、適用される法律を遵守し、責任を持って利用してください。不正なエクスプロイトマーケットプレイスとの直接的な関与は行わないでください。
