新たな 5 つのプロンプト・インジェクション手法:間接的なベクターに依存しながら攻撃力を高める

CrowdStrike Uncovers 5 New Prompt Injection Techniques Targeting AI Agents

2026/07/08 gbhackers — AI エージェントを標的とする、プロンプト・インジェクションの新たな 5 つの手法が、CrowdStrike により特定された。それが強く示すのは、エンタープライズが自律型 AI システムの導入を拡大する中で、敵対的手法が急速に進化している状況である。CrowdStrike の AI セキュリティ研究チームが 2026年7月7日に公開したレポートで詳述された、これらの新たな手法により、同社におけるプロンプト・インジェクション分類体系は、200 件超の文書化された攻撃手法へと拡大した。ファイル・アクセス/コマンド実行/外部システムとの対話などが可能な AI エージェントが、攻撃者にとって価値の高い標的になりつつあるという懸念が、このレポートにより強調される。

5 つの新たなプロンプト・インジェクション手法

AI 時代における重大なセキュリティ課題として、プロンプト・インジェクションが浮上している。特に、単体のチャットボットから、エンタープライズ・ワークフローに統合されたかたちで運用される AI エージェントへと、状況が移行する中で重要性を増している。

従来の直接的な攻撃とは異なり、現代のプロンプト・インジェクション・キャンペーンは、間接的なベクターに依存することが多い。具体的に言うと、Web ページ/メール/API/AI システムが取り込む SaaS コンテンツなどのデータソース内に、悪意の命令を埋め込む手法である。

これらの隠れたペイロードは、ユーザーには明示的に認識させずに、エージェントの挙動操作や保護策のバイパスを経て、不正なアクションを引き起こす可能性がある。

新たに開示された 1つ目の手法である Trigger-Activated Rule Addition (PT0201) は、特定の条件またはキーワードによりアクティブ化されるまで、悪意の命令を休眠状態に保つ遅延実行ロジックを導入する。この “スリーピング・ペイロード” 方式により、初期検査時の検知が困難になる一方で、攻撃者は後からエージェントの挙動を変更できる。

2つ目の手法 Cognitive Token Suppression (PT0197) は、拒否に関連する言語やポリシー由来の言語の使用を制限することで、モデルの言語的な保護策を標的にする。それにより、安全ではないレスポンスや、曖昧なレスポンスが生成される可能性を高める。

3 つ目の Algorithmic Payload Decomposition (PT0200) は、悪意の命令を無害に見える構成要素へ分割する、高度な回避手法である。AI が、それらをまとめて処理すると、一連の要素から実行可能なコマンドへと再構築されるため、従来のフィルタリング・メカニズムを実質的にバイパスする。

4 つ目の Special Token Injection (PT0198) は、AI システムが使用する構造的な区切り文字やフォーマット上の手がかりを悪用する。これにより、攻撃者はユーザー入力をシステム・レベルの命令またはツールコマンドに見せかけ、権限と実行優先度を引き上げることができる。

5 つ目の Unwitting User Delivery (IM0005) は、ソーシャルエンジニアリングを活用し、正規ユーザーを攻撃ベクターへと変換する。攻撃者は、コピーされたテキスト/埋め込みメディア/侵害されたブラウザ拡張機能などを介して、ユーザーに悪意のプロンプトを送信させることで、認証済みセッション内でペイロードを実行する。その結果として、検知される可能性を低減しながら、影響を大幅に高めることができる。

特定された主な手法:
  • Trigger-Activated Rule Addition (PT0201):特定のキーワードまたはイベントによりアクティブ化される休眠命令。
  • Cognitive Token Suppression (PT0197):安全性に関連する語彙を制限し、拒否メカニズムを弱体化させる。
  • Algorithmic Payload Decomposition (PT0200):悪意のあるコマンドを無害な断片に分割し、後から再構築させる。
  • Special Token Injection (PT0198):システム・レベルのフォーマットを模倣し、命令の優先度を引き上げる。
  • Unwitting User Delivery (IM0005):ソーシャルエンジニアリングを使用し、信頼されたユーザーを通じて悪意のあるプロンプトを配信する。

セキュリティチームにとって、これらの進展が意味するのは、難読化/遅延トリガー/コンテキスト操作などを組み合わせる、多段階かつ複合的なプロンプト・インジェクション攻撃への移行が具現化する可能性である。

効果的な防御において必要になるのは、すべての入力チャネルを対象とする包括的な AI 脅威モデリング/間接攻撃およびハイブリッド攻撃のシナリオをシミュレートする高度なレッドチーム演習/AI インタラクションに対するランタイムの可視性である。

連鎖する手法とコンテキストの悪用を考慮するように、検知戦略が単純なパターン認識を超えて進化していく必要があると、CrowdStrike は強調している。

これらの調査結果が示すのは、AI エージェント/ツール/データ・パイプライン全体において、プロンプト・フローの監視/ポリシー制御の適用/異常な挙動のリアルタイム検知を可能にする、統合型 AI セキュリティ・プラットフォームの必要性が高まっている状況である。