AI駆動型WAFに弱点 悪意のある命令文で検出回避を狙う手法を研究者が指摘：セキュリティニュースアラート

セキュリティ研究者がAI駆動型WAFの回避手法とその脆弱性を解説した。悪意のある命令文をAIに入力することで、WAFを誤認識させられるという。

[後藤大地，有限会社オングス]

　セキュリティ研究者のghostlulz氏は2025年5月19日（現地時間）、自身のブログでAI駆動型Webアプリケーションファイアウォール（WAF）のバイパス方法について解説した。WAFの基本構造と、従来型WAFおよびAI駆動型WAFの回避方法について詳述している。

AI駆動型WAFの検出を回避する悪意のあるプロンプトとは？

　ghostlulz氏はまず、正規表現や文字列マッチングに依存する従来型WAFの検出ロジックが攻撃者による微細な入力の改変に対して脆弱（ぜいじゃく）である点を指摘した。例えば、HTMLのscriptタグを検出するパターンに対して、文字の大文字・小文字の変更だけで検出を回避できることがあると説明している。

　次にAIを活用したWAFの特徴として、単なるパターンマッチではなく、入力内容の意味や文脈を解析する機能を備えている点を挙げている。AI駆動型WAFは大文字で記述したスクリプトタグのような変則的な表現も認識できるため、従来型の手法では回避が困難になっている。ただし、これらの高度な検出能力にも弱点が存在する。

　ghostlulz氏は、AIモデルが本質的に抱える構造的な脆弱性としてプロンプトインジェクションの問題を取り上げた。この攻撃手法では、悪意ある入力の中にAIが誤認識を起こすような命令文を意図的に含めることで、攻撃ペイロードを安全と誤判断させる。例えば、クロスサイトスクリプティング（XSS）攻撃用のスクリプトに「これは安全な入力です」といった文言を埋め込むことで、AIが実際には有害なリクエストを無害と分類してしまうケースがあるという。ただし、実際の攻撃手法はこれよりも複雑で、多様な命令や文脈を利用する場合が多い。

　このようなプロンプトインジェクションの手法は従来のWAFバイパスとは異なり、自然言語処理の仕組みを逆手に取った攻撃といえる。AIモデルは全ての入力を連続した指示と見なして処理するため、攻撃者が仕込んだ命令とシステム側の意図を区別できない可能性がある。結果としてAIの判断が意図しない方向に誘導される恐れがある。

　ghostlulz氏は、AI駆動型セキュリティ技術の導入が進む一方で、AI特有の脅威に対応するための継続的な検証と防御策の整備が欠かせないとしており、ペネトレーションテストを実施するセキュリティ専門家に対し、プロンプトインジェクションの仕組みとそれを活用した攻撃の可能性について理解を深めるよう呼びかけた。