AIエージェントの普及に“待った”？ 研究者らが脆弱性を調査：Cybersecurity Dive

Zenity Labsの専門家は、広く使われている生成AIを攻撃者が悪用し、データを窃取したり改ざんしたりできると証明した。研究において、各社のAIエージェントが露呈した脆弱性について確認しよう。

[David Jones，Cybersecurity Dive]

　AIエージェントの脆弱（ぜいじゃく）性を研究するZenity Labsの新しい研究によると（注1）、MicrosoftやGoogle、OpenAIなどの大手企業が提供し、最も広く使われているAIエージェントやアシスタントの一部は、ユーザーの操作がほとんどなかったり、あるいは全くなかったりする場合でも乗っ取られてしまう危険があるという。

主要AIエージェントに潜む穴とは？　ChatGPTやGeminiなどを対象に調査

　Zenityの研究者たちは、サイバーセキュリティカンファレンス「Black Hat USA」における発表で、ハッカーがデータを盗み出し、標的となった組織の重要な業務フローを操作し、場合によってはユーザーになりすますことさえできると示した。

　研究者によると、ハッカーたちはAIエージェントに侵入するだけでなく、メモリの永続性を獲得し、長期的にわたってアクセスや操作を維持できる可能性があるという。

　Zenity Labsのグレッグ・ゼムリン氏（プロダクトマーケティングマネジャー）は、『Cybersecurity Dive』に対して次のように語った。

　「攻撃者は指示を改ざんしたり、知識のソースに不正な情報を混ぜ込んだりして、エージェントの挙動そのものを完全に変えられる。これらは破壊行為や業務の混乱、長期的な誤情報の拡散につながる恐れがある。特にエージェントが重要な意思決定を担ったり、それを支援したりする環境では深刻なリスクとなるだろう」

　研究者たちは、人気を集めている複数のAIエージェントに存在する脆弱性を実証した。「ChatGPT」は、電子メールを利用したプロンプトインジェクションによって侵害され、接続された「Google ドライブ」のアカウントにアクセスされてしまう可能性がある。

　また、「Microsoft Copilot Studio」のカスタマーサポート用エージェントが、CRMのデータベース全体の情報を漏えいしてしまった。さらに研究者たちは、世の中で使われている3000以上のエージェントが、社内ツールの情報を漏らしてしまうリスクにさらされていることを突き止めた。

　この他、SalesforceのAIプラットフォーム「Einstein」は外部から操作され、顧客とのやりとりが研究者たちの管理する電子メールアカウントに転送されてしまった

　攻撃者は、「Microsoft 365 Copilot」やGoogleの「Gemini」を内部脅威に変え、ユーザーを狙ったソーシャルエンジニアリング攻撃を仕掛けたり、機密性の高いやりとりを盗み出したりする可能性がある

　Zenity Labsは今回の調査結果を各社に報告し、そのうち一部の企業はすぐにパッチを提供した。しかし他の企業が示した対応や指針は当初明確ではなかった。

　Microsoftの広報担当者はCybersecurity Diveに対し、次のように述べた。

　「これらの手法を特定し、調整された形で責任を持って報告してくれたZenityの取り組みに感謝している。当社の調査において、プラットフォーム全体で進めている継続的な改善と更新により、報告された挙動は既に当社のシステムに対して有効ではなくなっていることが確認された」

　Microsoftは「Copilotには安全対策やアクセス制御が組み込まれている」とし、「新たに現れる攻撃手法に備えてシステムを強化し続けることを約束する」と述べた。

　OpenAIは研究者たちと協議し、ChatGPTにパッチを当てたことを確認した。また同社は「同様の問題が報告されるように、バグ報奨金プログラムを運営している」と述べた（注2）。

　Salesforceは「Zenityが報告した問題を修正した」と述べている。

　Googleは「最近、Zenityが発見した問題に対応するために、新たな多層防御を導入した」と述べた。

　Googleの広報担当者は「プロンプトインジェクション攻撃に対して多層的な防御戦略を持つことは極めて重要だ」と述べており、同社が最近公開したAIシステムの防御に関するブログ記事を紹介した（注3）。

　研究は、AIエージェントが急速に進化し、従業員の生産性を大幅に高める技術として大手企業が積極的に活用する最中に発表されたものだ。

　2025年の初めにMicrosoft Copilotに関する同様のゼロクリックリスクを実証したAim Labsの研究者たちは（注4）、Zenity Labsの結果について、「急速に拡大するAIエコシステムにおける安全対策の不足を懸念させるものだ」と述べている。

　Aim Labsの代表者であるイタイ・ラヴィア氏はCybersecurity Diveに対して、次のように語った。

　「残念ながら、OpenAIおよびGoogle、Microsoftといった大手AI企業が提供するものを含め、大半のエージェント開発用のフレームワークには適切な安全策が存在しない。そのため、これらの攻撃に伴う高いリスクを管理する責任が企業側に委ねられてしまっているのが現状だ」

（注1）AgentFlayer: 0Click Exploit Methods（Zenity）
（注2）Bug Bounty OpenAI（Bugcrowd）
（注3）Mitigating prompt injection attacks with a layered defense strategy（Google SecurityBlog）
（注4）Critical flaw in Microsoft Copilot could have allowed zero-click attack（Cybersecurity Dive）

原文へのリンク

SpecialPR