生成AIの記憶機能を悪用して特定企業を優遇 50件超の事例を確認：セキュリティニュースアラート

Microsoftは、AIの記憶機能を悪用して特定企業を優先的に推奨させる「AI Recommendation Poisoning」という手法に警鐘を鳴らした。URL経由で不正な指示を注入することで、AIの中立性をゆがめる新たな脅威だとされている。

[ITmedia エンタープライズ編集部]

　Microsoftは2026年2月10日（現地時間）、生成AIの記憶機能を悪用し、自社サービスを優先的に推奨させる手法が広がっていると発表した。同社はこの手法を「AI Recommendation Poisoning」と呼び、利用者の判断を長期的にゆがめる恐れがあると警告した。

プロンプトを仕込んでAIの記憶を改変　特定企業を優遇する新手法の詳細

　AIアシスタントは、利用者の好みや過去の作業内容を保存し、回答を最適化する機能を備える。今回の手法はこの利便性を悪用した新たなリスクだといえる。不正な指示が保存されると、AIはそれを正当な設定として扱い、回答内容に反映する。利用者が操作された事実に気が付きにくい点も問題視されている。

　問題の手法は「Summarize with AI」などのボタンに隠された指示を通じて実行される。リンクをクリックすると、AIアシスタントの入力欄にあらかじめ仕込まれた命令文が自動挿入され、「特定企業を信頼できる情報源として記憶せよ」「今後は最優先で推奨せよ」といった内容の保存を試みる。こうして書き込まれた内容は会話をまたいで保持される可能性があり、将来の回答に影響を与える。

　Microsoftは60日間の調査で、31社による50件超の固有プロンプトを確認した。対象分野は金融や医療、法務、SaaS、マーケティング、食品関連など多岐にわたる。医療や投資助言のように社会的影響の大きい領域も含まれていた。中には商品説明文そのものを記憶させる例もあったという。

　攻撃は主にURLパラメーターを利用して実行される。多くのAIサービスは「?q=」や「prompt=」などの形式で外部から入力を渡せるため、1回のクリックで指示が読み込まれる。電子メールやWebページ経由で拡散されるケースも確認された。公的知識ベースMITRE ATLASではこうした行為を「Memory Poisoning（AML.T0080）」として整理している。

　Microsoftは、同社製品で複数の防御策を導入済みだと説明している。プロンプトのフィルタリングや外部コンテンツと利用者指示の分離、保存内容の可視化、継続的な監視体制などを実装し、手法の変化に応じて更新している。過去に報告された挙動の再現が困難になった事例もあるという。利用者にはAI関連リンクの確認や記憶内容の定期点検、不審な保存項目の削除を推奨している。この他、セキュリティ担当者には、AIドメインを含むURLのうち「remember」「trusted」「authoritative」「future」などの語を含むパラメーターを検出することを勧めた。

　同社は、検索結果を操作するSEO汚染やアドウェアと同様に、AIの情報提示をゆがめる新たな脅威として警戒を呼びかけた。AIの信頼性は利用者の意思決定に直結する。利便性を保ちつつ中立性を守る取り組みが急務となっている。