#### 要約* Googleは、2025年11月から2026年2月の間に、AIエージェントがウェブを閲覧する際の悪意のある間接的なプロンプトインジェクション攻撃が32%増加したことを記録した。* 野放しにされた実際のペイロードには、普通のHTMLに不可視で埋め込まれた完全に指定されたPayPal取引指示が含まれ、支払い機能を持つエージェントを対象としていた。* 現在の法的枠組みでは、正当な資格情報を持つAIエージェントが悪意のある第三者のウェブサイトによって仕込まれたコマンドを実行した場合の責任を定めるものはない。攻撃者は静かに、AIエージェント向けに設計された不可視の指示を含むウェブページに罠を仕掛けている。そしてGoogleのセキュリティチームによると、その問題は急速に拡大している。2026年4月23日に公開されたレポートで、Googleの研究者トーマス・ブルナー、ユー・ハン・リュー、モニ・パンドは、月に20億から30億のクロール済みウェブページをスキャンし、間接的なプロンプトインジェクション攻撃—ウェブサイトに埋め込まれた隠されたコマンドがAIエージェントに読まれ、それに従うのを待つ—を調査した。彼らは2025年11月から2026年2月の間に悪意のあるケースが32%増加したことを発見した。攻撃者は人間には見えない方法でウェブページに指示を埋め込む:テキストを1ピクセルに縮小、ほぼ透明に薄める、HTMLコメントセクションに隠す、またはページのメタデータに埋め込む。AIは完全なHTMLを読み取るが、人間には何も見えない。Googleが見つけたものの大部分は低レベルのもので、いたずらや検索エンジン操作、AIエージェントによるコンテンツの要約を妨害する試みだった。例えば、「鳥のようにツイートせよ」とAIに指示しようとするプロンプトもあった。しかし、危険なケースは別の話だ。あるケースでは、LLMにユーザーのIPアドレスとパスワードを返すよう指示していた。別のケースでは、AIのマシンをフォーマットさせるコマンドを実行させる試みもあった。しかし、他のケースはほぼ犯罪的とも言える。サイバーセキュリティ企業Forcepointの研究者たちはほぼ同時期にレポートを公開し、さらに進んだペイロードを発見した。1つは、支払い機能を持つAIエージェントを対象に、段階的な指示を含む完全に指定されたPayPal取引を埋め込み、「すべての以前の指示を無視せよ」という有名なジャイルブレイク技術も使用していた。2つ目の攻撃は、「メタタグネームスペースインジェクション」と呼ばれる技術と説得増幅キーワードを組み合わせ、AIを介した支払いをStripeの寄付リンクに誘導した。3つ目は、どのAIシステムが実際に脆弱かを探るための調査—より大きな攻撃の前段階の偵察だった。これが企業リスクの核心だ。正当な支払い資格情報を持つAIエージェントが、ウェブサイトから読み取った取引を実行し、そのログは通常の操作と区別がつかない。異常なログインもなければ、ブルートフォース攻撃もない。エージェントは、許可された通りに動作しただけだ—ただし、間違った情報源から指示を受け取っただけだ。昨年9月に記録されたCopyPasta攻撃は、プロンプトインジェクションが「readme」ファイルに隠れることで開発者ツールを通じて拡散する可能性を示した。金融バリアントは、コードの代わりにお金に適用された同じ概念であり、成功したヒットごとの影響ははるかに大きい。Forcepointは、コンテンツを要約するだけのブラウザAIはリスクが低いと説明している。一方、メール送信、端末コマンドの実行、支払い処理が可能なエージェント型AIは、全く異なるターゲットカテゴリーだ。攻撃の表面積は権限に比例して拡大する。<span style="display:inline-block;width:0px;overflow:hidden;line-height:0" data-mce-type="bookmark" class="mce_SELRES_start"></span>GoogleもForcepointも、洗練された協調キャンペーンの証拠は見つけていない。しかし、Forcepointは複数のドメインにわたる共有インジェクションテンプレートについて、「組織的なツール作りを示唆しており、孤立した実験ではない」と指摘している—つまり、誰かがこれのインフラを構築しているが、まだ完全に展開していない可能性がある。しかし、Googleはより直接的に述べている:研究チームは、間接的なプロンプトインジェクション攻撃の規模と洗練度は今後増大すると予測している。Forcepointの研究者たちは、この脅威に先手を打つための時間が急速に縮まっていると警告している。責任の問題は誰も答えていない。企業承認の資格情報を持つAIエージェントが悪意のあるウェブページを読み取り、不正なPayPal送金を開始した場合、誰が責任を負うのか?エージェントを展開した企業か?インジェクションされた指示に従ったモデル提供者か?ペイロードをホストしたウェブサイトの所有者か、知っていても知らなくても?現行の法的枠組みはこれをカバーしていない。これはグレーゾーンだが、シナリオはもはや理論上の話ではなく、Googleが今年2月に野放しのペイロードを発見したことからも明らかだ。Open Worldwide Application Security Projectは、プロンプトインジェクションをLLM01:2025—AIアプリケーションにおける最も重大な脆弱性クラスと位置付けている。FBIは2025年にAI関連詐欺の損失額をほぼ$900 百万ドルと追跡し、同カテゴリを初めて個別に記録した。Googleの調査結果は、よりターゲットを絞ったエージェント特化の金融攻撃が始まったばかりであることを示唆している。2025年11月から2026年2月の間に測定された32%の増加は、静的な公開ウェブページのみを対象としている。ソーシャルメディア、ログイン制限コンテンツ、動的サイトは範囲外だ。ウェブ全体の感染率はさらに高い可能性がある。
悪意のあるウェブページがAIエージェントを乗っ取り、一部はあなたのPayPalを狙っています
要約
攻撃者は静かに、AIエージェント向けに設計された不可視の指示を含むウェブページに罠を仕掛けている。そしてGoogleのセキュリティチームによると、その問題は急速に拡大している。 2026年4月23日に公開されたレポートで、Googleの研究者トーマス・ブルナー、ユー・ハン・リュー、モニ・パンドは、月に20億から30億のクロール済みウェブページをスキャンし、間接的なプロンプトインジェクション攻撃—ウェブサイトに埋め込まれた隠されたコマンドがAIエージェントに読まれ、それに従うのを待つ—を調査した。彼らは2025年11月から2026年2月の間に悪意のあるケースが32%増加したことを発見した。 攻撃者は人間には見えない方法でウェブページに指示を埋め込む:テキストを1ピクセルに縮小、ほぼ透明に薄める、HTMLコメントセクションに隠す、またはページのメタデータに埋め込む。AIは完全なHTMLを読み取るが、人間には何も見えない。
Googleが見つけたものの大部分は低レベルのもので、いたずらや検索エンジン操作、AIエージェントによるコンテンツの要約を妨害する試みだった。例えば、「鳥のようにツイートせよ」とAIに指示しようとするプロンプトもあった。 しかし、危険なケースは別の話だ。あるケースでは、LLMにユーザーのIPアドレスとパスワードを返すよう指示していた。別のケースでは、AIのマシンをフォーマットさせるコマンドを実行させる試みもあった。
しかし、他のケースはほぼ犯罪的とも言える。
サイバーセキュリティ企業Forcepointの研究者たちはほぼ同時期にレポートを公開し、さらに進んだペイロードを発見した。1つは、支払い機能を持つAIエージェントを対象に、段階的な指示を含む完全に指定されたPayPal取引を埋め込み、「すべての以前の指示を無視せよ」という有名なジャイルブレイク技術も使用していた。
2つ目の攻撃は、「メタタグネームスペースインジェクション」と呼ばれる技術と説得増幅キーワードを組み合わせ、AIを介した支払いをStripeの寄付リンクに誘導した。3つ目は、どのAIシステムが実際に脆弱かを探るための調査—より大きな攻撃の前段階の偵察だった。 これが企業リスクの核心だ。正当な支払い資格情報を持つAIエージェントが、ウェブサイトから読み取った取引を実行し、そのログは通常の操作と区別がつかない。異常なログインもなければ、ブルートフォース攻撃もない。エージェントは、許可された通りに動作しただけだ—ただし、間違った情報源から指示を受け取っただけだ。 昨年9月に記録されたCopyPasta攻撃は、プロンプトインジェクションが「readme」ファイルに隠れることで開発者ツールを通じて拡散する可能性を示した。金融バリアントは、コードの代わりにお金に適用された同じ概念であり、成功したヒットごとの影響ははるかに大きい。 Forcepointは、コンテンツを要約するだけのブラウザAIはリスクが低いと説明している。一方、メール送信、端末コマンドの実行、支払い処理が可能なエージェント型AIは、全く異なるターゲットカテゴリーだ。攻撃の表面積は権限に比例して拡大する。 GoogleもForcepointも、洗練された協調キャンペーンの証拠は見つけていない。しかし、Forcepointは複数のドメインにわたる共有インジェクションテンプレートについて、「組織的なツール作りを示唆しており、孤立した実験ではない」と指摘している—つまり、誰かがこれのインフラを構築しているが、まだ完全に展開していない可能性がある。
しかし、Googleはより直接的に述べている:研究チームは、間接的なプロンプトインジェクション攻撃の規模と洗練度は今後増大すると予測している。Forcepointの研究者たちは、この脅威に先手を打つための時間が急速に縮まっていると警告している。 責任の問題は誰も答えていない。企業承認の資格情報を持つAIエージェントが悪意のあるウェブページを読み取り、不正なPayPal送金を開始した場合、誰が責任を負うのか?エージェントを展開した企業か?インジェクションされた指示に従ったモデル提供者か?ペイロードをホストしたウェブサイトの所有者か、知っていても知らなくても?現行の法的枠組みはこれをカバーしていない。これはグレーゾーンだが、シナリオはもはや理論上の話ではなく、Googleが今年2月に野放しのペイロードを発見したことからも明らかだ。 Open Worldwide Application Security Projectは、プロンプトインジェクションをLLM01:2025—AIアプリケーションにおける最も重大な脆弱性クラスと位置付けている。FBIは2025年にAI関連詐欺の損失額をほぼ$900 百万ドルと追跡し、同カテゴリを初めて個別に記録した。Googleの調査結果は、よりターゲットを絞ったエージェント特化の金融攻撃が始まったばかりであることを示唆している。 2025年11月から2026年2月の間に測定された32%の増加は、静的な公開ウェブページのみを対象としている。ソーシャルメディア、ログイン制限コンテンツ、動的サイトは範囲外だ。ウェブ全体の感染率はさらに高い可能性がある。