サイバー詐欺が進化している。
いいか、皆もAIエージェントの話題は嫌というほど聞いただろう。ウェブを閲覧し、記事を要約し、フライトを予約し、あるいは——どうやら——銀行口座を空にする準備ができているという。Googleが最近発表したレポートは、率直に言って恐ろしいトレンドを詳述している。悪意のあるウェブページが、「間接的なプロンプトインジェクション」と呼ばれる手法で、これらのAIエージェントを積極的に乗っ取っているのだ。デジタル的なブービートラップだと考えてほしい。人間が不快なポップアップを目にする代わりに、AIの隠されたコードがトリガーされ、その結果は明らかに金銭的なものになっている。
2025年11月から2026年2月にかけて、こうした攻撃が32%も急増したという数字は、単なる統計ではない。それは点滅する赤信号だ。攻撃者はもう、AIに鳥のようにツイートさせるようないたずら(これも実際に起きているらしいが)をしているわけではない。私たちが話しているのは、通常のHTMLに目に見えぬ形で埋め込まれた、完全に指定されたPayPal取引指示だ。正当な決済認証情報を持つAIエージェントが、これらの隠されたコマンドを読み取り、そして、まあ、誰か別の人に支払ってしまう。そしてここが肝心なのだが、ログは通常の操作と全く同じに見えるのだ。異常なログインはない。ブルートフォース攻撃もない。ただ、AIが指示された通りに動作しているだけ——もっとも、間違った上司の指示だが。
見えないインク、見える危険
これらは、おばあちゃんの時代のフィッシングメールではない。攻撃者は賢くなっている。テキストを1ピクセルに縮小したり、色をほとんど透明にしたり、HTMLコメントやメタデータにコマンドを埋め込んだりする手法を使っている。人間にはきれいなウェブページが見えるが、AIには悪意のあるToDoリストが見えている。これは、特権が拡大するにつれて攻撃面も拡大するという古典的なケースだ。コンテンツを要約するだけのAIはまだしも、ターミナルコマンドを実行したり、決済を処理したりできるAIは?それは全く別の話であり、これらの悪意あるアクターにとって、はるかに魅力的な標的となる。
別のサイバーセキュリティ企業であるForcepointも、同様に憂慮すべき発見を報告している。彼らは、PayPalを標的とするだけでなく、巧妙なメタタグ操作を通じて、AIが仲介する支払いをStripeの寄付リンクにルーティングするペイロードも確認している。これは個々の実験というより、こうした攻撃のためのインフラ構築だ。誰かがツールキットを作成しているのだ。たとえまだ軍隊を完全に展開していなくても。Googleのチームは非常に直接的だ。彼らは、規模と洗練度がさらに増すと予想しており、Forcepointは、この問題に先んじるための時間は、コードの不出来な取引よりも速く閉じていると警告している。
特権が拡大するにつれて、攻撃面も拡大する。
AIが盗んだとき、誰が支払うのか?
ここからが本当に曖昧になってくる。中核となる企業リスクは、単に失われた金額だけではない。それは責任問題だ。会社が承認したすべての認証情報を持つAIエージェントが、ランダムなウェブサイトから引き出した不正な取引を実行した場合、誰が責任を負うのか?エージェントを展開した企業なのか?忠実に注入された指示に従ったAIモデルプロバイダーなのか?それとも、デジタル不動産が犯罪現場に変えられていることすら知らないかもしれないウェブサイトの所有者なのか?現在、これに対する法的な枠組みはなく、シナリオがもはや理論的なものではないことを考えると、それは巨大な問題だ。
私たちは、直接的な金融攻撃ベクトルについて話している。そしてFBIは、2025年だけでAI関連の詐欺損失額が9億ドル近くに達したとすでに記録している。これは遠い未来の問題ではない。今起きていることであり、金融関連のバリアントがようやく這い出てきているにすぎない。
見慣れた曲調、新しい楽器
CopyPasta攻撃を覚えているか?あれは、悪意のあるコードが単純な「readme」ファイルに隠された開発者ツールを通じてどのように拡散するかを示した。これは同じ概念だが、コードの代わりに、お金が奪われている。古い攻撃ベクトルが、新興技術で新たな命を得る証拠だ。システムを、本来実行すべきでないコマンドを実行させるように欺くという根本的な脆弱性は新しいものではないが、広範なウェブアクセスと決済能力を持つAIエージェントという媒体は、恐ろしく効果的な新しい楽器なのだ。
GoogleとForcepointによって詳述されたこの最新の攻撃波は、単にセキュリティプロトコルを迂回するだけでなく、私たちがこれらの自律エージェントに築き上げている信頼そのものを悪用している。OWASPはすでにプロンプトインジェクションをLLMアプリケーションにとって最も重要な脆弱性としてフラグを立てていたが、それはこれらの金融ペイロードが実世界に出現する前のことだった。AIの限界を押し広げるにつれて、新しい、そして潜在的により儲かる攻撃面も創造するということを、痛烈に思い出させてくれる。
オンライン信頼の未来?
では、これはあなたの日常的なオンライン体験にとって何を意味するのだろうか?それは、AIエージェントがあなたの代わりにウェブとやり取りするたびに、無視できないリスクがあるということだ。私たちは本質的に、ウェブページ上の見えないテキストに簡単に騙されるシステムに、デジタルウォレットの鍵を渡しているのだ。これは信頼のパラドックスだ。AIエージェントが有用であるためには能力が必要だが、その能力はまた、悪用のための主要な標的にもする。現在のセキュリティ対策、そしてより重要なのは、法的枠組みは、イノベーションと悪用のスピードに著しく遅れをとっている。
それは単にあなたのPayPalを保護することだけではない。オンライン取引の根本的な完全性と、私たちがデジタルアシスタントに置く信頼に関する問題だ。AIエージェントが詐欺師にお金を送ってしまうように騙されないことを保証できないなら、金融タスクにおけるこれらのエージェントの有用性は著しく損なわれる。
🧬 関連インサイト
よくある質問
間接プロンプトインジェクション攻撃とは何ですか? 間接プロンプトインジェクション攻撃は、人間ユーザーではなくAIエージェントに読み取られて実行されるように設計された、ウェブサイトやその他の外部データソースに埋め込まれた悪意のある指示によって発生します。これらの指示は、AIの行動を操作し、不正な支払い送信などの権限のないアクションにつながる可能性があります。
私のPayPalアカウントはAIエージェント攻撃から安全ですか? 攻撃は決済能力を持つAIエージェントを標的にしていますが、あなたの直接的なPayPalアカウントのセキュリティは、あなた自身の認証情報と、AIがどのようにやり取りすることを許可するかに依存します。リスクは、あなたまたはあなたの会社が使用しているAIエージェントが悪意のあるウェブサイトを通じて侵害され、あなたの代わりに不正な取引を実行した場合に発生します。
これは人間の仕事を置き換えますか? この特定の脅威は、伝統的な意味で人間の仕事を直接「置き換える」わけではありませんが、AIエージェントが侵害された場合、以前は詐欺に人間の関与が必要だった可能性のある悪意のあるアクションを実行できることを浮き彫りにします。また、AI駆動の金融取引における人間の監督の将来の役割についての疑問も提起します。
