あなたが今日、同僚から受け取った一通のメール。何気なくCRMに貼り付けた顧客メモ。あるいは、フォルダに保存したままの添付ファイル。そのどれかに、あなたには読めない指示が紛れ込んでいたら——そしてそれを読むのが、あなたではなく、あなたの隣で働くAIだったら。
プロンプトインジェクションと聞くと、多くの人は「AIに変な命令を打ち込んで、おかしな答えを引き出す遊び」を思い浮かべるかもしれません。けれど攻撃はもう、そこにはいません。悪意ある指示を打ち込むのは攻撃者ではなく、何も知らない私たち自身。しかも指示は「入力欄」ではなく、AIが後から読みにいく「資料」の側に潜んでいます。手を汚さずに、正規の権限を借りて、静かに実行される。
CrowdStrikeが公表した5つの新手法は、そんな攻撃の現在地を映す見取り図です。特定の合図が来るまで眠り続ける命令。安全な断り方の語彙をあらかじめ封じる仕掛け。命令をパズルのピースに分解し、AI自身に組み立てさせる回避術。どれも派手さはありません。だからこそ、見つけにくい。
AIに仕事を任せる範囲が広がるほど、AIが「読む」ものの範囲も広がります。この記事は、その足元を一度見直すための地図です。
CrowdStrikeは2026年7月7日、AIエージェントを標的とする5つの新たなプロンプトインジェクション手法を公表した(海外のセキュリティメディアが報じたのは7月8日)。
同社は自社のプロンプトインジェクションの分類体系に18の新手法を追加し、文書化された手法の総数は200を超えた。今回取り上げられた5手法は、Trigger-Activated Rule Addition(PT0201)、Cognitive Token Suppression(PT0197)、Algorithmic Payload Decomposition(PT0200)、Special Token Injection(PT0198)、Unwitting User Context-Data Injection(IM0018)である。なお、5つ目については一部の二次報道でUnwitting User Delivery(IM0005)という表記も見られる。
これらはWebサイトの閲覧、内部データへのアクセス、コマンドの実行が可能なAIエージェントを対象とし、攻撃者がエージェントの取り込むデータに悪意ある指示を埋め込む間接的な攻撃を含む。CrowdStrikeは、組織がプロンプト、API、メール、SaaSプラットフォームを含むあらゆるデータソースを対象にAIの脅威モデリングを拡張し、複数手法を組み合わせた多段階攻撃を考慮する必要があると述べている。
From:
CrowdStrike Unveils 5 New Prompt Injection Techniques Challenging AI Agents
【編集部解説】
CrowdStrikeが今回の18手法を公表したのは、正確には2026年7月7日です。翌8日に海外の各セキュリティメディアが一斉に報じたため、日付が混在して伝わっていますが、発表主体の一次情報は7月7日付、執筆はデビッド・ケラー氏です。まずこの点を押さえたうえで、なぜ今このニュースを取り上げるのかをお伝えします。
背景にあるのは、AIの使われ方が「チャットボット」から「エージェント」へと移り変わったことです。文章を返すだけのAIであれば、悪意ある指示を紛れ込ませても、被害は比較的限定的でした。ところが、Webを巡回し、社内ファイルを読み、コマンドまで実行できるエージェントが相手になると、同じ攻撃が実世界の操作へと直結します。今回の5手法が「エージェントを狙う」と明言されている意味は、ここにあります。
元記事では触れられていませんが、この分類体系には理解を助ける「二軸構造」があります。CrowdStrikeは攻撃を、悪意ある指示がどう届くか(Injection Method=IM)と、届いた指示がどう仕立てられているか(Prompting Technique=PT)の2つの軸で整理しています。手法コードの接頭辞がその手がかりで、今回の5手法のうち1つがIM番号、残る4つがPT番号なのは偶然ではありません。前者は「配送経路」の話、後者は「文面の細工」の話なのです。この視点を持つと、5手法が別々の奇策ではなく、一つの攻撃を構成する部品として見えてきます。
なお、5つ目の手法名・コードについては、典拠によって表記が分かれている点に触れておきます。CrowdStrike公式ブログの本文では「Unwitting User Context-Data Injection(IM0018)」と記載されています。一方、転記元のCyber Security Newsなど一部の二次報道では「Unwitting User Delivery(IM0005)」と表記されています。本記事では一次情報で確認できるIM0018を主表記とし、二次報道側の表記も補足しました。このIM0018は、ユーザーをだまして悪意ある「プロンプト」を直接入力させるのではなく、文書への貼り付け、添付ファイルのアップロード、メモの保存、メールの転送、チケットやCRMレコードの更新といった何気ない操作を通じて、AIが後で読み込む「コンテキストデータ」の側に指示を忍ばせる手口です。ユーザーの入力自体は無害でも、周囲のデータに毒が仕込まれている——そこが巧妙な点です。
他の手法もかみ砕くと、その巧妙さが分かります。トリガー起動型ルール追加は、審査の場では無害な文に見え、特定の合図で初めて牙をむく「時限式」の仕込みです。アルゴリズム的ペイロード分解は、命令をパズルのピースに切り分け、AI自身に組み立てさせることで、単語単位の検閲をすり抜けます。特殊トークン注入は、システムが内部で使う「仕切り」を偽造し、ただのユーザー入力を上位の命令へと昇格させてしまう手口です。
一点、訂正しておきたい箇所があります。参照元の一覧では、認知トークン抑制(Cognitive Token Suppression)を「重要な指示をAIに無視・見落とさせる手法」と要約していました。しかし一次情報の定義はより限定的で、これは拒否・謝罪・ポリシーに関する語彙をあらかじめ封じ、モデルが安全な断り方を選びにくくする手法です。必ず従わせるわけではなく、あくまで安全側の表現を細らせる、という点が本質になります。誇張のない理解のために補足します。
このニュースが示すのは、脅威が「派手なジェイルブレイク」から「静かな多段構え」へ移行したことです。CrowdStrikeの2026年グローバル脅威レポートによれば、2025年には90を超える組織で、正規の生成AIツールに悪意あるプロンプトが注入され、認証情報や暗号資産を窃取するためのコマンド生成に悪用されました。AIを悪用する攻撃者の活動は前年比89%増。OWASPはプロンプトインジェクションをLLMアプリの最重要リスク(LLM01)に位置づけています。数字が、この問題の現在地を物語っています。
規制の観点も見逃せません。米国では2026年6月2日に署名された大統領令14409を受けて、AIセキュリティの整備が進み、CrowdStrikeもその文脈で防御論を展開しています。攻撃手法が体系化・公開されることは、防御側の共通言語を育てる一方で、規制当局が「何を測り、何を求めるか」を定義する土台にもなり得ます。分類の充実は、いずれ監査やコンプライアンスの物差しへとつながっていくでしょう。
長期の視点で見れば、今回の公表は「AIの脆弱性が、ソフトウェアの脆弱性と同じように番号を振って管理される時代」の到来を告げるものです。ソフトの弱点に共通IDを与えるCVEが防御を前進させたように、プロンプトインジェクションにも地図が引かれ始めました。ただし、CrowdStrikeの分類体系はあくまで同社が整備するIDであり、CVEのような公的・業界横断の脆弱性識別制度そのものではない点には注意が必要です。それでも、攻撃者の創意が尽きない以上、地図があれば少なくとも「どこが未踏か」は分かります。AIを未来の道具として使いこなす私たちにとって、この地図を読む力こそが、次の必須リテラシーになるはずです。
【関連記事】
ChatGPT「要約」が罠に変わる新攻撃ChatGPhish──見たページが”弾丸”になる仕組みとは
AIが読み込んだWebページに指示を仕込む間接型攻撃。本記事のIM0018と同型の脅威を実例で示す一本。
Microsoft 365 Copilot「SearchLeak」脆弱性、ワンクリックで情報窃取
間接プロンプトインジェクションが実被害に至った事例。本記事の「手口」に対する「実害」を補う内容。
Microsoft AzureやMistral AIも標的に、音声AIを乗っ取る新攻撃「AudioHijack」
音声という別経路からの間接注入を実証。攻撃の「配送経路」が多様化している現実を示す。
【編集部後記】
この記事を書きながら、何度も手が止まりました。5つの手法を一つずつ追っていくと、そこに並んでいるのが「高度なハッキング技術」ではなく、私たちの日常の動作そのものだったからです。メモを貼る。ファイルを添付する。メールを転送する。チケットを起票する。どれも、悪意とはいちばん遠いところにある行為です。攻撃者が狙っているのは、システムの穴ではなく、私たちが何も疑わずに手を動かす、その瞬間なのだと思い知らされました。
もうひとつ、忘れられない出来事がありました。この記事の作成中、5つ目の手法の名前とIDが、参照する資料によって食い違っていたのです。同じ発表を扱っているはずなのに、呼び名が二通りある。結局、元の資料を何度も開き直して確かめることになりました。地味で、時間のかかる作業でした。けれど今になって思えば、あれこそがこの記事のテーマそのものだったのかもしれません。目の前の情報が本当に正しいのか、いったん立ち止まって元をたどる。AIが読むデータを疑うことと、人間が読む情報を疑うことは、地続きの話でした。
とはいえ、便利さを手放そうという話ではありません。AIエージェントは、これから間違いなく私たちの仕事を軽くしてくれます。ただ、任せる範囲を自分で決められること。渡すデータの出どころに、一瞬だけ意識を向けられること。その小さな余白が、便利さと安全のあいだをつなぐ橋になるのだと感じています。
【用語解説】
プロンプトインジェクション
AIへの入力(プロンプト)に不正な指示を紛れ込ませ、本来の命令や安全機構を無視させる攻撃の総称である。OWASPがLLMアプリの最重要リスクに挙げている。
AIエージェント
指示に応じて自律的にWeb閲覧、ファイル操作、コマンド実行などを行うAIシステムを指す。文章を返すだけのチャットボットより権限が広く、攻撃の被害が実際の操作へ波及しやすい。
タクソノミー(分類体系)
攻撃手法を体系立てて整理・命名した目録のこと。CrowdStrikeのものは「指示の届け方(Injection Method=IM)」と「文面の仕立て方(Prompting Technique=PT)」の二軸で構成される。手法コードの接頭辞(IM/PT)はこの軸を表す。
エクスフィルトレーション
機密データを外部へ密かに持ち出す行為を指す。今回の「休眠型」手法では、起動後にデータを外部へ送信する例が想定されている。
ジェイルブレイク
AIの安全制限を外して禁止された出力を引き出す試みのこと。OWASPは、安全プロトコルを無視させるプロンプトインジェクションの一形態と位置づけている。
大統領令14409
米国のAI政策に関する大統領令で、正式名称は「先進的な人工知能のイノベーションと安全保障の促進」。2026年6月2日に署名された。連邦政府のサイバー防御強化などを柱とし、CrowdStrikeもAIセキュリティ整備の文脈で言及している。攻撃手法の体系化は、こうした規制・監査の土台にもなる。
【参考リンク】
CrowdStrike(公式サイト)(外部)
今回の18手法を公表したセキュリティ企業の公式サイト。エンドポイント防御やAIセキュリティ製品を提供している。
CrowdStrike Uncovers New Prompt Injection Techniques(外部)
本件の一次情報。5手法の定義と、セキュリティチームが取るべき4つの対策を示した公式ブログである。
Taxonomy of Prompt Injection Methods(外部)
プロンプトインジェクション手法を二軸で整理した分類体系のダウンロードページ。攻撃の全体像を把握できる。
OWASP Top 10 for LLM Applications(外部)
LLMアプリ特有のリスクをまとめた国際的なガイドライン。プロンプトインジェクションを最重要項目に据えている。
The White House(大統領令14409 原文)(外部)
編集部解説で言及した大統領令14409の原文。AIのイノベーションと安全保障の促進に関する政策を定めている。
【参考記事】
CrowdStrike 2026: Prompt Injection Hit 90 Organizations, Doubled AI Attacks(外部)
2025年に90超の組織へプロンプト注入、攻撃量は前年比89%増などの数値を、脅威レポートから整理している。
AI Prompt Injection: A Feature not a Bug(外部)
2025年時点でCrowdStrikeが150超の手法を追跡し、30万超の敵対的プロンプトを分析したと伝える解説記事。
CrowdStrike Uncovers 5 New Prompt Injection Techniques Targeting AI Agents(外部)
一次情報を7月7日付レポートとして報道。攻撃が多段的・複合的な形へ移行していると整理している。
The Prompt Injection Taxonomy That Exposes How Shallow Most Defenses Are(外部)
分類体系の二軸構造を掘り下げ、多くの防御が片方の軸しか見ていないと指摘する解説記事。
After Executive Order 14409: Next Steps for Securing AI(外部)
大統領令14409がAIの安全性確保をセキュリティの根幹と位置づけると解説した記事。規制パートの裏付け。












