Googleセキュリティチーム、AIエージェントのハイジャックを狙う悪意のあるペイロードに警告：理論的な脅威から実戦的な攻撃への転換

Googleのセキュリティチームが数十億のウェブページを対象に実施した大規模なセキュリティ監査の結果、自律型AIエージェントを標的とした悪意のあるペイロードが、理論的な段階を超えて実際の環境で活発に配布されていることが明らかになった。2026年4月28日現在、これらの攻撃シナリオは単なるラボテストではなく、静的ウェブサイトや公共のリポジトリに埋め込まれた現実の脅威として確認されている。

特に今回の調査では、AIエージェントを欺いて5,000ドル規模のPayPal不正送金を誘導したり、企業の重要ファイルを削除したりするように設計されたペイロードが発見され、衝撃を与えている。これは、ウェブ環境自体が自律型AIアシスタントにとって巨大な地雷原へと変貌したことを示唆する危険な信号である。

Googleのセキュリティチームは、毎月約20億から30億のウェブページをクローリングして分析する過程で、AIエージェントを操ろうとする「間接的プロンプト注入（Indirect Prompt Injection, IPI）」の事例を多数発見した。研究チームは静的サイトや公共のコードリポジトリを重点的に調査し、攻撃者がAIエージェントの動作メカニズムを悪用して特定の行動を強制する巧妙なコードを仕込んでいることを確認した。

自律型AIエージェントがウェブを探索する過程で、情報環境そのものが新たな課題となっている。これは、我々が『AIエージェントの罠』と呼ぶ脆弱性を発生させる。すなわち、訪問するエージェントを操作、欺瞞、または搾取するために設計された敵対的なコンテンツだ。

「AIエージェントの罠」とは、エージェントの長期記憶やナレッジベースを操作するように設計された敵対的コンテンツを意味する。特に「RAG（検索拡張生成）の知識汚染」手法は、検索コーパス内のわずか数個の文書を操作するだけで、AIエージェントに攻撃者が意図した虚偽情報を検証済みの事実として受け入れさせることができる。このような認知状態の罠は、エージェントの意思決定プロセスそのものを歪めるという点で致命的である。

実戦配備された高リスクペイロードの実態

Forcepointの技術分析によると、攻撃者はPayPal.meのリンクとともに5,000ドルという具体的な金額、そしてユーザーの確認手順を回避するためにエージェントに下す段階的なUX指示を含めていた。エージェントがこのページを読み込んだ瞬間、攻撃者が設定した「送信」ボタンのクリックなどのコマンドが自動実行される危険があり、これは金融詐欺のカテゴリーで最も高い深刻度に分類される。

• GitHub CopilotやCursorなどのIDE統合型アシスタント
• ウェブリサーチ機能を実行するAIベースのターミナル環境
• 自動化されたコードレビューを実行するDevOpsパイプライン
• 外部データをリアルタイムで取り込むCI/CDレビューツール

2026年4月に発生したVercelのセキュリティ事故は、こうした脅威が企業環境に及ぼす実質的な影響を示している。サードパーティ製AIツールであるContext.aiの脆弱性を介して、従業員のVercelおよびGoogle Workspaceアカウントが奪取された。これはAIサプライチェーン内の信頼関係を悪用した連鎖的なアカウントハイジャックへとつながった。企業用システムに接続されたAIエージェントが攻撃者の経路になり得ることを証明した事例だ。

2026年第1四半期のOWASP GenAIエクスプロイト要約レポートは、セキュリティ環境の根本的な変化を指摘している。攻撃者が今や単なるモデル出力の操作を超え、エージェントのアイデンティティ管理やオーケストレーションレイヤーを直接狙っているという分析だ。これは、AIセキュリティが単なるフィルタリングを超え、システム全体の整合性を保護する方向へと進化しなければならないことを意味している。

インテリジェントな防御体系への転換

今後は、複数のAIシステムが接続された環境を狙う「チェーン型脆弱性」やマルチエージェントエクスプロイトがさらに巧妙化すると予想される。ミュンヘン再保険（Munich Re）の2026年サイバーリスクレポートも、プロンプト注入を主要な脅威と規定し、攻撃技術の高度化に伴う備えを促している。攻撃者は現在、エージェント間の相互作用を利用してセキュリティ境界を回避する手法を開発している。

Googleは、企業がAIエージェントを機密性の高い内部システムに接続しながらも、リアルタイムの監視体制を整えていない点を最大のセキュリティ上の空白として挙げた。2026年を通じてこのような標的型攻撃が継続すると予想されるため、エージェントの活動をリアルタイムで監視し、異常な動作を即座に遮断する技術的な防衛線の構築が急務である。