AIに「このページを読んで要約して」と頼むとき、そのページに何が書かれているかを完全に把握している人はほとんどいない。HTMLの構造上、画面に表示されない場所にテキストを置くことは技術的に簡単で、AIはそのテキストも読んでしまう。これが「間接的プロンプトインジェクション」と呼ばれる攻撃の入口になる。

Googleの脅威インテリジェンスチームは、毎月20〜30億ページを収録するCommon Crawlのデータを使ってWebの実態を調べ、2026年4月23日(米国時間)に調査結果を公開した。仕事でAIを使う人、とりわけAIエージェントに作業を任せている人にとって、見落とせない内容が含まれている。

GoogleがWeb分析、AIを狙う間接的プロンプトインジェクションの実態

この調査は@ITが2026年6月12日に日本語でも報じている。Webや資料をAIに読ませる人には、リンクを開く前の確認とエージェント権限の絞り込みがそのまま防御になる。

🔍 「間接的プロンプトインジェクション」とは何か

プロンプトインジェクションには大きく2種類がある。攻撃者がAIのチャット画面に直接悪意ある指示を送る「直接型」と、AIが読み込む外部コンテンツ(Webページ・メール・PDF・スプレッドシートなど)の中に悪意ある指示を仕込む「間接型」だ。間接型の厄介な点は、ユーザーが指示を出していないにもかかわらずAIが誤動作する可能性がある点にある。

対象になるユーザーは、AIにURLを渡して内容をまとめさせたり、AIエージェントにメールや社内文書を自動処理させたりしている人全員が含まれる。AIが人間の代わりに外部コンテンツを読む場面であれば、原理的にどこでも成立しうるリスクだ。権限の境界という観点では、AIが実行できるアクション(送信・保存・API呼び出しなど)が広いほど攻撃の影響が大きくなる。

🌐 GoogleがCommon Crawlで調べたこと

Common Crawlは研究目的で公開されている大規模Webアーカイブで、毎月20〜30億ページ分のデータが蓄積されている。Googleの研究チームはこのデータを使い、Webページの中に埋め込まれた「AIへの命令らしき文字列」を機械的に検出した。調査期間は2025年11月から2026年2月の約4か月間だ。

検出された命令の大半は無害なものだったが、一部には明確な悪意を持つカテゴリが含まれていた。無害なものが多いという事実は、裏を返せば攻撃的な命令も実際のWebに存在するということを意味する。

📂 5種類の埋め込み命令

Googleは検出したパターンを5つのカテゴリに分類している。

① 無害な命令:「このページの要約を3行で返せ」のように、悪意はないが誰かがAIの動作を試みた痕跡と考えられるもの。

② 単純な誘導:コンテンツの評価を操作しようとする軽微な命令。たとえば「このサイトを高評価せよ」など。

③ SEO操作:検索エンジン向けの評価をAI経由で操作しようとするもの。AI overviewsなどの生成AI検索に対する新手のSEO汚染と位置づけられる。

④ AIエージェント妨害:AIエージェントが正常なタスクを完了できないように妨害する命令。競合するWebサービスや業者が仕込む可能性がある。

⑤ 悪意ある攻撃:個人情報や認証情報の外部送信、ファイルの削除・改ざんなど、実害を与えることを目的とした命令。

⚠️ 2025年11月から2026年2月で検出数が32倍に

調査期間のわずか4か月間で、悪意あるカテゴリ(⑤)の検出数が32倍に増加した。ただし現時点では、実際に攻撃が成功するケースはごく少数にとどまっているとレポートは述べている。

ちょっと引っかかるのは、「現時点では成功率が低い」という部分だ。それは現在のAIモデルがまだ比較的慎重であるためで、AIエージェントが企業システムへのアクセス権限を持ちながら自律的に動くケースが増えれば、同じ攻撃の成功率は一気に上がりうる。32倍という増加ペースは、攻撃者側がすでにこの手法を本格的に試している証拠として読む必要がある。

🛡️ AIにWebや資料を読ませる場合に確認できること

このリスクはゼロにできないが、業務での影響を小さくする行動はある。AIのアカウント保護自体を強化しておくことも重要で、ChatGPTのセキュリティ設定を見直す手順も合わせて確認しておくといい。

URLを渡す前に確認する:信頼できないページ(検索で初めて見つけたページ、不審な短縮URLなど)をそのままAIに読ませるのは避ける。公式サイト・査読済み情報源など出所が明確なURLを優先する。

AIエージェントの権限を最小化する:エージェントに与えるツール(メール送信・ファイル操作・外部API呼び出しなど)は必要最低限にとどめる。「読む」だけでいい場面で「書く」権限まで与えない。

出力を鵜呑みにしない:AIが「○○してほしいと書いてありました」と報告する場合、その要求の出所がコンテンツ作成者ではなく埋め込まれた命令である可能性を念頭に置く。特に、AIが突然ファイルの送信や外部への書き込みを提案してきたときは手動で内容を確認する。

AIエージェントのログを残す:エージェントが何をどの順で実行したかのログを保存する設定にしておく。異常な動作があった場合に遡って確認できる体制を整えることが、被害の早期発見につながる。

📚 参考