AIエージェントを欺き暗号資産を払わせようとするプロンプトインジェクション攻撃が見つかる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > AIエージェントを欺き暗号資産を払わせようとするプロンプトインジェクション攻撃が見つかる

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

プロンプトインジェクション

AIエージェントを欺き暗号資産を払わせようとするプロンプトインジェクション攻撃が見つかる

佐々山 Tacos

佐々山 Tacos

2026.07.07

AIエージェントを欺き暗号資産を払わせようとするプロンプトインジェクション攻撃が見つかる

SecurityWeek – July 6, 2026

AIエージェントを欺いて攻撃者の指示に従わせることを目的とする間接プロンプトインジェクションキャンペーン2件を、ZsxalerのThreatLabzが特定。これらのキャンペーンでは、タスク実行のためにWeb検索を行うAIエージェントを標的にするため、Webサイトへ不正な支払いや送金を行うよう命じる隠しプロンプトが仕込まれていたという。

 

人間がフィッシングなどのソーシャルエンジニアリングに騙される場合があるのと同様に、AIエージェントも似たような攻撃に晒される恐れがある。その一例である間接プロンプトインジェクションは、AIエージェントによって取得されるWebサイトやドキュメント、Eメールといったコンテンツに悪意ある指示(プロンプト)を埋め込み、エージェントの推論に影響を及ぼそうとするもの。今回Zscaler ThreatLabzは、正規のサービスになりすました悪意あるWebサイトを通じ、間接プロンプトインジェクションを利用してAI活用型ワークフローを操ろうとする攻撃キャンペーンを2件観測している。

 

1件目のキャンペーンは、APIドキュメントを隠れ蓑として使い、間接プロンプトインジェクションを利用して不正な支払いをさせようとする決済詐欺。この詐欺に使われたWebサイトはSEOポイズニングによって検索順位が高められており、AIエージェントがrequests-secure-v2というPythonライブラリを検索した際、このサイトが発見・訪問される可能性が高くなっていたとされる。

 

ThreatLabzによれば、この詐欺サイトには隠し間接プロンプトが含まれており、サイトを訪れたAIエージェントに対し、APIキーを取得するための通常の手順の1つとして支払いが必要であるかのように説明することで、エージェントの意思決定に影響を及ぼそうとする設計になっていたという。この結果、開発関連タスクを完了しようとするエージェントは、指示通りに攻撃者のアカウント宛に資金を送ってしまう可能性がある。

 

ThreatLabzはまた、AIエージェントに支払いを行ってエラーを解消するよう指示する隠し「<div>」タグも同サイト上で発見したほか、ハードコードされたウォレット宛の暗号資産送金を開始するコードも確認している。このサイトはさらに、AIエージェントだけでなく人間の開発者も標的にしており、同様の支払いオプションがユーザー向けに表示されるようになっているという。

 

ThreatLabzは、「Open-Agent-Utilities」というGitHubリポジトリを通じてこの攻撃に関連するWebサイトをさらにいくつか発見。攻撃者は現在、間接プロントインジェクションを仕込んだ同様のWebサイトとリンクする10件のGitHubリポジトリを使用しているとされる。

 

ThreatLabzが観測した2つ目のキャンペーンは、広く使用されるDeFiポートフォリオトラッカー「DeBank」を模倣したタイポスクワッティングドメインを利用するもの。この偽サイトには、サイトを訪れたAIエージェントに対し、このサイトはDeBankの正規ドメインであると伝える間接プロンプトが仕込まれていたとされる。

 

ThreatLabzはこのキャンペーンによる影響を調べるため、Webブラウジング機能および決済実行機能を備えた自律型AIエージェントを構築。26種のLLMを使って攻撃者の用意した間接プロンプトインジェクションが有効かどうかをテストした。その結果、Llama 3.3 70B Instruct、Llama 3.2 90B Vision Instruct、Gemini 3 Flash、Gemini 2.5 Proの4つが悪意あるプロンプトに欺かれて支払いを実行。またClaude Sonnet 4.5とGPT-5.4の2つは、偽サイトを信頼できるDeBankプラットフォームであるとする誤った分類を行ったという。

 

AIエージェントがWebインターフェースとしてますます一般的になっていくにつれ、コンテンツ自体がより大きなアタックサーフェスになるだろうとThreatLabzは指摘。「AIはワークフローを効率化できる一方で新たな悪用経路を生じさせるものでもあるという諸刃の剣」であるという事実が浮き彫りになっていると警鐘を鳴らした。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ