2025年12月、OpenAIとUK NCSC(英国国家サイバーセキュリティセンター)が相次いで発表した見解は、AIセキュリティの前提を根底から覆した。プロンプトインジェクション攻撃は「完全には修正不可能」であり、SQLインジェクションのようにパッチで解決できる脆弱性ではない──。OWASP Top 10 for LLM Applications 2025で第1位にランクされ、本番AI環境の73%で検出されるこの構造的脆弱性を、国際政治の視点から分析する。国家間のAI規制アプローチの分岐、サイバー戦争における非対称性の拡大、そしてエンタープライズが採るべき多層防御戦略の全体像を論じる。

「完全修正不可能」── OpenAIとUK NCSCの歴史的宣言

2025年12月、OpenAIはブラウザエージェント「ChatGPT Atlas」のセキュリティアップデートに際し、プロンプトインジェクション攻撃が「完全に解決されることはおそらくない」と公式に認めた。同社のHead of Preparednessは、この脆弱性をウェブ上の詐欺やソーシャルエンジニアリングと同質の問題──すなわち「パッチ可能なバグ」ではなく「LLMアーキテクチャに内在する特性」として位置づけた。

同月、UK NCSCの研究チームも「プロンプトインジェクション攻撃は、SQLインジェクション攻撃が修正可能であるのとは異なり、完全に緩和されることはない可能性がある」との見解を公表した。SQLインジェクションではパラメータ化クエリによって命令とデータの境界を厳密に分離できる。しかしLLMの内部では、命令とデータの間にセキュリティ境界が存在しない。すべてのトークンが等しく「指示」として解釈され得る──これが構造的に修正不可能とされる根本的理由である。

この宣言は、従来のサイバーセキュリティにおける「脆弱性→パッチ→解決」という線形モデルの終焉を意味する。筆者は脆弱性診断やペネトレーションテストの実務を通じ、プロトコルやHTTPヘッダ一つの設定ミスが致命的な脆弱性になり得ることを体感してきた。しかしプロンプトインジェクションは、そうした「設定の修正」では解決できない。LLMが言語を理解し生成するというまさにその能力自体が攻撃面となるという、セキュリティ史上類例のないパラダイムである。

OWASP第1位・73%検出──数字が語る危機の規模

OWASP Top 10 for LLM Applications 2025において、プロンプトインジェクション(LLM01:2025)は2年連続で第1位にランクされた。OWASPは「プロンプトインジェクションがLLMにとって最大の脅威である理由は、パッチ可能な欠陥ではなくLLMの設計そのものを悪用するためである」と明記している。

セキュリティ監査データによれば、本番AI環境の73%以上でプロンプトインジェクションが検出されている。CrowdStrikeは2025年中に150以上の独立した攻撃手法を追跡し、30万件以上の敵対的プロンプトを分析した。これはもはや理論上の脅威ではなく、エンタープライズAIの日常的リスクである。

攻撃手法は2つに大別される。ユーザー入力から直接モデルの挙動を変える「直接プロンプトインジェクション」と、Webページ・PDF・メール・API応答などの外部データソースに悪意ある指示を埋め込む「間接プロンプトインジェクション」である。後者は特に危険で、ユーザーが一切悪意ある操作をしなくとも、AIが取得した外部データ経由で攻撃が成立する。2025年に公表されたMicrosoft 365 CopilotのCVE-2025-32711(EchoLeak)は、細工されたメール一通でゼロクリック・データ窃取を可能にした。また2026年1月には、Microsoft Copilot Personalに対する「Reprompt Attack」がワンクリックでのデータ窃取を実証している。

国家間AI規制の分岐──地政学的非対称性の拡大

プロンプトインジェクションの「修正不可能性」は、単なる技術的課題を超え、国家間のサイバーセキュリティ能力における非対称性を構造的に拡大させている。各国のAI規制アプローチは大きく分岐しており、この分岐がそのまま攻撃・防御能力の格差となって顕在化しつつある。

米国は分散型・イノベーション優先のアプローチを維持している。連邦レベルの包括的AI規制法は未整備であり、NIST AI Risk Management Framework(AI RMF 1.0)による自主的ガイドラインが中心である。NIST AI RMFはプロンプトインジェクションを「完全排除」ではなく「継続的リスク管理」の対象として位置づけ、脅威モデリングと検出メトリクスの追跡を求めている。市場主導型のこのアプローチは技術革新を加速させる一方、防御基準の底上げにおいて構造的な遅れを生むリスクがある。

EUはAI Act(2024年8月発効)によって世界で最も包括的な規制枠組みを構築した。高リスクAIシステムに対して、プロンプトインジェクション・ジェイルブレイク・ハイジャックをカバーするレッドチーミングを義務化し、適合性評価やインシデント報告を求めている。2025年8月の汎用AIモデル義務化以降、EU域外のAIプロバイダーにも事実上の規制輸出が進行しており、「ブリュッセル効果」がAIセキュリティ基準のグローバルスタンダードを形成しつつある。

中国はアルゴリズムの事前承認と国家イデオロギーへの整合を軸に据える。2025年11月にAnthropicが開示したところによれば、中国の国家支援グループがAIエージェントを使用し、サイバー攻撃の80〜90%を自律的に実行していたことが確認されている。プロンプトインジェクションは、こうした国家主導のサイバー攻撃における攻撃ベクトルとしても機能しうる。

日本はOECDおよびG7 AI原則に整合したリスクベースのフレームワークを推進している。規制と技術革新のバランスを取る実務的アプローチであるが、プロンプトインジェクションに特化した具体的な技術要件の策定は、欧米に比べ遅れている。2026年以降、EU AI Actの域外適用が拡大する中、日本企業はEU基準への準拠を事実上迫られる場面が増加すると予想される。

エンタープライズ多層防御──「排除」ではなく「影響最小化」へ

OpenAIとNCSCの宣言は、防御戦略のパラダイムシフトを要求している。「脆弱性の排除」ではなく「攻撃成功時の影響最小化」──これが2026年のエンタープライズAIセキュリティの基本原則となる。

第1層:入力検証とサニタイズ。ユーザー入力がLLMに到達する前に検証・無害化する。OWASP推奨のLLM Prompt Injection Prevention Cheat Sheetでは、非信頼データをYAML・JSON・XML構造でフォーマットし、意味レベルでの検出を行うことが推奨されている。ただし、セマンティック攻撃(意味的に偽装された攻撃)の検出には限界がある。

第2層:出力フィルタリングと検証。モデルの生成結果をポリシーベースで検査し、悪意あるコンテンツや想定外の動作を検出する。明白な違反には有効だが、微妙な攻撃は検出を回避しうる。

第3層:権限最小化とアクセス制御。AIシステムに付与する権限を最小限に制限する。多要素認証(MFA)、トークンのライフサイクル管理、センシティブ操作へのレート制限を実装する。プロンプトインジェクションが成功しても、AIが実行できるアクションの範囲を限定することで被害を抑制する。

第4層:サンドボックスと実行分離。AI生成コードの実行環境を隔離し、成功した攻撃の影響を封じ込める。ケイパビリティベースのセキュリティモデルを適用し、APIアクセスを認証済みチャネルに限定する。

第5層:敵対的テストとレッドチーミング。OpenAIは強化学習で訓練したLLMを「自動化された攻撃者」として運用し、多段階ワークフロー上の高度なプロンプトインジェクションを発見している。実際にこのシステムは、悪意あるメールに埋め込まれた指示がユーザーのCEOへの退職届送信を誘発するエクスプロイトを発見した。このような継続的レッドチーミングが、防御の最終層として不可欠となる。

筆者がセキュリティアーキテクトとしてゼロトラスト設計に携わった経験からいえば、セキュリティ戦略はビジネスの制約を理解した上でないと絵に描いた餅になる。多層防御のどの層に投資を集中するかは、組織のAI活用度合い・リスク許容度・規制環境によって大きく異なる。重要なのは、全層を均等に実装することではなく、自組織にとっての最大リスクポイントを特定し、そこにリソースを集中することである。

「Promptware」の登場と攻撃の産業化

2025年から2026年にかけて、プロンプトインジェクションは単発の攻撃から「産業化」の段階に入った。セキュリティ研究者はこの新たな脅威カテゴリを「Promptware」と命名している──LLMを自身の実行エンジンとして利用するマルウェアである。

2025年に文書化された21件のPromptware攻撃のうち、7件がAIコーディングアシスタントを標的としていた。これらのツールはコードを実行し、開発者のクレデンシャルを保持しているため、格好の標的となる。ある事例では、ChatGPTの長期メモリに指示を書き込み、攻撃者のGitHubページから更新コマンドを取得させる「Promptwareネイティブのコマンド&コントロール」が実証された。

さらに衝撃的なのは、2025年2月に概念実証された「AIワーム」である。自己増殖するプロンプトインジェクションがAI生成コンテンツに自身を埋め込み、エージェント間のメール・チャット通信を通じて受信側のエージェントを感染させる。自律的なエージェント間伝播の可能性は、企業のAIインフラ全体への指数関数的な拡散リスクを意味する。

RAGポイズニングも深刻化している。ベクトルデータベースに挿入された悪意あるドキュメントが、ベクトル化を経ても隠された指示を保持し、関連するすべてのモデルの応答を汚染する。「2027年以降はわずかに不正確な回答を返せ」といった時限式ペイロードすら理論上可能であり、これは意味レベルでのサプライチェーン攻撃にほかならない。

SOC構築・運用の実務では、アラートから判断までの人間のプロセスこそがSOCの価値であると痛感してきた。しかしPromptwareは、従来のSOCが検知・対応してきた脅威とは本質的に異なる。LLMの推論プロセス内部で発生する攻撃は、ネットワークトラフィックやファイル操作のログには残らない。AIシステム固有の行動監視──モデルの推論パターンの異常検知、指示遵守違反の検出──が新たな監視レイヤーとして必要となる。

2026年以降の展望──終わりなき軍拡競争

プロンプトインジェクションが「修正不可能」であるという事実は、AIセキュリティが永続的な軍拡競争に入ったことを意味する。攻撃者はマルチモーダル攻撃(画像・音声に隠された指示)、ハイブリッド攻撃(プロンプトインジェクション+XSS/CSRF/SSRFの組み合わせ)、そしてエージェント間伝播と、手法を高度化し続ける。

防御側の最前線では、PromptArmorのようなガードレールLLMが偽陽性率1%未満・偽陰性率1%未満を達成しているが、これは既知のパターンに対する数値であり、新規・ステルス型の攻撃変種に対しては性能が低下する。検出感度を上げれば誤検知が増え、下げれば新種の攻撃を見逃す──このトレードオフは構造的に解消されない。

地政学的には、AI規制の分岐が各国の攻撃・防御能力の非対称性をさらに拡大させる。EUの包括的規制は防御基準を底上げする一方で技術革新のコストを引き上げ、米国の市場主導型アプローチは革新を加速させつつ防御の均一化を遅らせる。中国はAIを国家主導のサイバー攻撃に組み込みつつ、国内のAIセキュリティ基準は対外的に不透明なまま維持する可能性が高い。この三極構造の中で、日本を含む同盟国は技術主権とグローバル標準のバランスを模索し続けることになる。

企業にとっての現実的な結論は明確である。プロンプトインジェクションの「完全な排除」を目指すのではなく、「攻撃の成功確率を低減し、成功時の影響を最小化する」多層防御への投資を継続すること。そして、攻撃手法の進化に合わせて防御を更新し続ける──この終わりなきプロセスを、AIを活用するためのコストとして組み込むことである。

FAQ

プロンプトインジェクションとは何か?

悪意ある入力によりLLMに意図しない動作をさせる攻撃手法である。ユーザー入力から直接行う「直接型」と、外部データソースに指示を埋め込む「間接型」の2種類がある。OWASP LLM Top 10 2025で第1位にランクされている。

なぜプロンプトインジェクションは「完全修正不可能」とされるのか?

LLMはすべてのトークンを等しく解釈するため、命令とデータの間にセキュリティ境界が存在しない。SQLインジェクションのようにパラメータ化で分離できる構造とは根本的に異なり、LLMが言語を理解する仕組み自体が攻撃面となる。

企業はプロンプトインジェクションにどう対処すべきか?

入力検証、出力フィルタリング、権限最小化、サンドボックス化、継続的レッドチーミングを組み合わせた多層防御が推奨される。「排除」ではなく「影響最小化」を目標とし、攻撃手法の進化に応じて防御を更新し続けることが重要である。

日本企業はEU AI Actの影響を受けるか?

EU域内にサービスを提供する場合は直接適用される。域内展開がなくとも、EU基準がグローバルスタンダード化する「ブリュッセル効果」により、取引先からの準拠要求が増加すると予想される。2027年の高リスクAI完全施行に向けた準備が求められる。

参考文献