AIエージェントを欺き暗号資産を払わせようとするプロンプトインジェクション攻撃が見つかる
AIエージェントを欺いて攻撃者の指示に従わせることを目的とする間接プロンプトインジェクションキャンペーン2件を、ZsxalerのThreatLabzが特定。これらのキャンペーンでは、タスク実行のためにWeb検索を行うAIエージェントを標的にするため、Webサイトへ不正な支払いや送金を行うよう命じる隠しプロンプトが仕込まれていたという。
人間がフィッシングなどのソーシャルエンジニアリングに騙される場合があるのと同様に、AIエージェントも似たような攻撃に晒される恐れがある。その一例である間接プロンプトインジェクションは、AIエージェントによって取得されるWebサイトやドキュメント、Eメールといったコンテンツに悪意ある指示(プロンプト)を埋め込み、エージェントの推論に影響を及ぼそうとするもの。今回Zscaler ThreatLabzは、正規のサービスになりすました悪意あるWebサイトを通じ、間接プロンプトインジェクションを利用してAI活用型ワークフローを操ろうとする攻撃キャンペーンを2件観測している。
1件目のキャンペーンは、APIドキュメントを隠れ蓑として使い、間接プロンプトインジェクションを利用して不正な支払いをさせようとする決済詐欺。この詐欺に使われたWebサイトはSEOポイズニングによって検索順位が高められており、AIエージェントがrequests-secure-v2というPythonライブラリを検索した際、このサイトが発見・訪問される可能性が高くなっていたとされる。
ThreatLabzによれば、この詐欺サイトには隠し間接プロンプトが含まれており、サイトを訪れたAIエージェントに対し、APIキーを取得するための通常の手順の1つとして支払いが必要であるかのように説明することで、エージェントの意思決定に影響を及ぼそうとする設計になっていたという。この結果、開発関連タスクを完了しようとするエージェントは、指示通りに攻撃者のアカウント宛に資金を送ってしまう可能性がある。
ThreatLabzはまた、AIエージェントに支払いを行ってエラーを解消するよう指示する隠し「<div>」タグも同サイト上で発見したほか、ハードコードされたウォレット宛の暗号資産送金を開始するコードも確認している。このサイトはさらに、AIエージェントだけでなく人間の開発者も標的にしており、同様の支払いオプションがユーザー向けに表示されるようになっているという。
ThreatLabzは、「Open-Agent-Utilities」というGitHubリポジトリを通じてこの攻撃に関連するWebサイトをさらにいくつか発見。攻撃者は現在、間接プロントインジェクションを仕込んだ同様のWebサイトとリンクする10件のGitHubリポジトリを使用しているとされる。
ThreatLabzが観測した2つ目のキャンペーンは、広く使用されるDeFiポートフォリオトラッカー「DeBank」を模倣したタイポスクワッティングドメインを利用するもの。この偽サイトには、サイトを訪れたAIエージェントに対し、このサイトはDeBankの正規ドメインであると伝える間接プロンプトが仕込まれていたとされる。
ThreatLabzはこのキャンペーンによる影響を調べるため、Webブラウジング機能および決済実行機能を備えた自律型AIエージェントを構築。26種のLLMを使って攻撃者の用意した間接プロンプトインジェクションが有効かどうかをテストした。その結果、Llama 3.3 70B Instruct、Llama 3.2 90B Vision Instruct、Gemini 3 Flash、Gemini 2.5 Proの4つが悪意あるプロンプトに欺かれて支払いを実行。またClaude Sonnet 4.5とGPT-5.4の2つは、偽サイトを信頼できるDeBankプラットフォームであるとする誤った分類を行ったという。
AIエージェントがWebインターフェースとしてますます一般的になっていくにつれ、コンテンツ自体がより大きなアタックサーフェスになるだろうとThreatLabzは指摘。「AIはワークフローを効率化できる一方で新たな悪用経路を生じさせるものでもあるという諸刃の剣」であるという事実が浮き彫りになっていると警鐘を鳴らした。
関連資料をダウンロード

デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...












