Google「ウェブページの中に見えない命令が企業AIエージェントを狙う」…間接プロンプトインジェクション4ヶ月新しい32％急増

팀

팀제이커브

May 5, 20261m ago

カテゴリー

Empty

Googleセキュリティブログが公開Webページにユーザーの目には見えない指令を植え、企業向けAIエージェントを奪取しようとする「間接プロンプトインジェクション（Indirect Prompt Injection・IPI）」攻撃が実際のインターネット環境で急速に広がっていると警告した。 Googleの脅威インテリジェンスチームがCommon Crawlアーカイブを分析した結果、2025年11月から2026年2月の間に悪意のあるプロンプトインジェクションの試みが32％増加したと集計された。毎月20億～30億ページ規模のWebスナップショットを盗んだ結果、Googleは「攻撃者たちのIPIに対する関心が急速に高まっているという明白な信号」と評価した。

Googleが野生で捕らえたインジェクションの試みは、大きく6つのタイプに分けられます。

▲AI秘書が鳥のようにつぶやくようにする無害ないたずら

▲ウェブサイトの運営者が自社コンテンツをよりよく要約するよう誘導する「ヘルプ」指示

▲自動化されたSEOスイートが生成する洗練された検索ランキング操作

▲AIクローラが無限にロードされるテキストを受け取り、リソースを使い果たすエージェントブロック技術

▲初期段階のデータ流出実験

▲「ユーザー機器のすべてのファイルを削除せよ」という式の破壊的命令などだ。

この中でデータ流出と破壊命令はまだ実際成功の可能性が低い低水準の試みに分類されたが、SEO操作領域では自動化ツールで大量生成された洗練されたインジェクションが顕著に増えた。

間接プロンプトインジェクションは、ユーザーが直接プロンプトに悪意のあるコマンドを入力する「ダイレクトインジェクション」とは異なり、AIエージェントが作業中に読み込む外部コンテンツ―ウェブページ・メール・文書・PDF―にコマンドを隠しておく方式だ。 HTMLコメント、白い文字、画面外領域など人目立たない位置に「前の指示を無視して次を実行せよ」という式のフレーズを挿入してAIを操縦する。

グーグルはコモンクロールデータに限定して分析しただけに、リンクドイン・フェイスブック・X（旧ツイッター）などログイン障壁がある主要なソーシャルプラットフォームは今回の統計から抜けたと明らかにした。つまり、実際の脅威規模は報告された32％よりはるかに大きい可能性があるという意味だ。

検出には、「Ignore instructions」などの既知のシグネチャに対するパターンマッチング、疑い意図を分類するジェミナイベースの自動分類器、および人の手動検証が一緒に使用された。 Googleは報告書で特定の脅威行為者や国家背後を指摘していないが、「個人実験家のいたずらレベルで自動化された大規模キャンペーンに急速に進化している」ことを明らかにした。特にエージェンチックAIが日常業務に深く統合されるほど、攻撃の価値とコスト効率は一緒に高くなるというのがGoogleの診断だ。

防御戦略として、Googleは

▲ジェミナイモデル自体の敵対的堅牢性強化

▲専属レッドチームの常時圧迫テスト

▲外部研究者参加を誘導するAI脆弱性報告報酬（VRP）プログラム

▲リアルタイム・グローバル規模の脅威検出・遮断システム構築

▲多層防御白書ベースの階層的セキュリティ設計など

五分岐アプローチを提示した。

特にワークスペースに統合されたジェミナイが実際の攻撃面になることを認め、モデル・製品・インフラ全般にわたる強化を持続すると明らかにした。

専門家たちは今回の報告書を「AIエージェント時代のセキュリティパラダイムが本格的に変わる信号」と解釈する。ユーザーが直接入力しなかった外部コンテンツがまもなく信頼できない入力とみなされなければならず、企業環境ではエージェントが接近するすべてのウェブ・文書・メールを潜在的な攻撃ベクトルで扱わなければならないという意味だからだ。

AIがより多くの権限を委任されるほどターゲット価値も大きくなるほど、モデル自体の堅牢性だけでなく、ツール呼び出し時の人の承認段階、出力検証レイヤー、権限最小化といったシステムレベルの安全装置が今後企業AI導入の核心課題として浮上する見込みだ。

Google Security Blog