セキュリティスタートアップCodeWallのAIエージェントが、McKinseyの社内AIプラットフォーム「Lilli」に対し、2026年2月28日から2時間で本番データベース全体への完全な読み書きアクセスを取得した。Lilliは2023年7月に開始され、従業員の72%にあたる4万人以上が利用し、月間50万件以上のプロンプトを処理する。
エージェントは認証不要な22のAPIエンドポイントを起点にSQLインジェクションの脆弱性を発見し、4,650万件のチャットメッセージ、72万8,000件のファイル、5万7,000件のユーザーアカウント、95件のシステムプロンプトへのアクセスが可能な状態だった。3月1日に全攻撃チェーンが開示され、McKinseyは翌3月2日までに全エンドポイントへのパッチ適用と開発環境のオフライン化を完了した。
From: 
AI vs AI: Agent hacked McKinsey’s chatbot and gained full read-write access in just two hours
【編集部解説】
今回の事案を一言で表すなら、「AIがAIを壊した」です。しかし本質はそこではありません。このインシデントが示しているのは、企業が生成AIを急速に社内展開する中で、旧来のセキュリティの常識がすでに通用しなくなりつつあるという現実です。
まず技術的な背景を整理しましょう。攻撃の入口となったのは「SQLインジェクション」という、1990年代から知られる古典的な脆弱性です。驚くべきことは、Lilliが本番稼働から2年以上経過していたにもかかわらず、McKinsey自身の内部スキャナーも、標準的なセキュリティツールであるOWASP ZAPも、この欠陥を発見できなかった点です。CodeWallのAIエージェントは、JSONキー(フィールド名)がSQL文に直接連結されるという、チェックリスト型のスキャンでは見逃しやすい微妙な実装の隙を突きました。人間の発想では見落とすような場所を、AIは執拗に探索し続けます。
次に注目すべきは「プロンプト層」という新たな攻撃面です。今回の侵害が単なるデータ漏洩にとどまらない理由がここにあります。Lilliのシステム設定(12種のモデルタイプにわたる95件の設定)が、侵害されたデータベースと同一の場所に保存されていました。これらは書き込み可能だったため、攻撃者は一つのHTTPリクエストだけで、4万3,000人のコンサルタントが日々信頼して使うAIの「思考回路」を静かに書き換えることができた状態でした。アドバイスの改ざん、機密情報の自動流出、ガードレールの無効化——いずれもログに痕跡を残さず実行できます。CodeWallのブログが「プロンプトは新たな最重要資産だ」と表現しているのは、決して大げさではありません。
このニュースには、際立った皮肉も含まれています。McKinseyは2025年10月、エージェント型AIのセキュリティリスクを詳述した自社レポートを公開しています。「AIエージェントは外部からの侵入口を新たに生み出す」と警告した当のコンサルティングファームが、AIエージェントによって自社プラットフォームを陥落させられた形です。
ポジティブな側面も見逃せません。今回はCodeWallによる「責任ある開示(Responsible Disclosure)」として実施されており、開示から翌日までにMcKinseyがパッチを適用し、開発環境をオフライン化、APIドキュメントをブロックしました。AIによる自律的な脆弱性探索は、こうした防御側の継続的テストにも活用できます。攻撃と防御が同一技術の上に成り立つ、双刃の剣です。
より広い文脈で見ると、サイバーセキュリティ専門家の約48%が2026年のトップ攻撃ベクターとしてエージェント型AIを挙げているというDark Readingの調査結果とも符合します。AIエージェントが「ターゲットをまったく人間が介在しない状態で自律的に選定し、攻撃し、レポートする」というサイクルが完結する時代は、もはや未来の話ではありません。
規制面への影響も無視できません。EUのAI規制法(EU AI Act)やNISTのAIセキュリティフレームワークは、AIシステムのセキュリティ要件を強化する方向に動いており、今回のような事案は規制当局に対して「プロンプト層の保護」を義務化する議論を加速させる可能性があります。日本においても、AI産業の急速な進展に対して適切なガバナンスの整備が求められる局面です。
長期的には、今回の事案は「AIシステムの信頼性」に関する問いを企業に突きつけています。社員が毎月50万件のプロンプトを投げかける社内AIが、知らぬ間にその出力を汚染されていたとしたら、意思決定の土台そのものが崩れます。AIの採用を急ぐ企業ほど、セキュリティの設計を後回しにするリスクを抱えています。
【用語解説】
SQLインジェクション(SQL Injection)
データベースへの問い合わせ言語「SQL」の構文を悪用した古典的な攻撃手法。ユーザーの入力値を適切に処理せずにSQL文へ直接組み込んでしまう実装の不備を突き、データの不正取得・改ざん・削除などを引き起こす。1990年代から知られており、今なお発生し続けている。
IDOR(Insecure Direct Object Reference)
「安全でない直接オブジェクト参照」。ユーザーIDやファイルIDなどの識別子を推測・変更することで、本来アクセスできないはずの他のユーザーのデータにアクセスできてしまう脆弱性。今回の攻撃では、SQLインジェクションと組み合わせて従業員個人の検索履歴が読み取られた。
APIエンドポイント
外部からシステムの機能を呼び出すための「窓口」となるURL。今回は200以上のエンドポイントのうち22件が認証なしで誰でもアクセスできる状態だった。
システムプロンプト
AIチャットボットに対して、その挙動・口調・制約・回答スタイルなどをあらかじめ定義しておく「裏側の指示書」。ユーザーには通常見えないが、AIの振る舞いを根本的に支配する。今回は12種のモデルタイプにわたる95件の設定が書き換え可能な状態だった。
RAG(Retrieval-Augmented Generation)
AIが回答を生成する際に、外部の知識ベースやデータベースから関連情報を検索・参照してから応答を生成する仕組み。Lilliは100,000件以上の社内文書をRAGで参照しており、そのRAGドキュメントチャンクも368万件にわたって侵害された。
Responsible Disclosure(責任ある開示)
脆弱性を発見した研究者が、悪用される前に当該企業へ非公開で通知し、修正のための猶予期間を与えたうえで情報を公開するプロセス。今回CodeWallはMcKinseyのHackerOneポリシーに従い、開示翌日に修正が完了した。
OWASP ZAP
OWASPが提供する代表的な無償のWebアプリケーション脆弱性スキャンツール。今回の攻撃で悪用されたSQLインジェクションは、このツールでは検出できなかったとCodeWallは報告している。
【参考リンク】
McKinsey & Company(外部)
世界最大級のマネジメントコンサルティングファーム。社内AIプラットフォーム「Lilli」を2023年7月に全社展開した。
Lilli(McKinsey公式紹介ページ)(外部)
McKinseyが独自開発した生成AIプラットフォームの公式紹介ページ。10万件超の社内文書を横断する知識検索と生成AIを統合したエンタープライズAIの事例。
CodeWall(外部)
自律型AIエージェントによる攻撃的セキュリティテストを提供するスタートアップ。AIがターゲット選定から攻撃・レポートまでを自動実行する。現在アーリープレビュー段階。
HackerOne(McKinsey責任ある開示ポリシー)(外部)
バグバウンティ・脆弱性開示プログラムのプラットフォーム。McKinseyの責任ある開示ポリシーが公開されており、今回の攻撃対象選定の根拠となった。
OWASP(Open Worldwide Application Security Project)(外部)
Webアプリケーションセキュリティの標準化・啓発を行う非営利団体。「OWASP Top 10」はセキュリティ業界の共通言語として広く参照されている。
【参考記事】
How We Hacked McKinsey’s AI Platform(CodeWall)(外部)
今回の攻撃全工程を詳述したCodeWall公式ブログ。数値データの一次ソース。開示タイムラインの「03-28」は「03-01」の誤記と思われる。
2026: The Year Agentic AI Becomes the Attack-Surface Poster Child(Dark Reading)(外部)
セキュリティ専門家の48%が2026年のトップ攻撃ベクターにエージェント型AIを挙げたという調査結果を報告している。
Deploying agentic AI with safety and security(McKinsey)(外部)
McKinseyが2025年10月に公開したレポート。AIエージェントが新たな外部侵入口を生み出すと警告していた。
Agentic AI: Biggest Enterprise Security Threat for 2026(Kiteworks)(外部)
エンタープライズにおけるエージェント型AIのリスクを詳述。シャドーAIや非人間アイデンティティなど脅威拡大の背景を解説している。
Prompt injection is a problem that may never be fixed, warns NCSC(Malwarebytes)(外部)
英国NCSCによる警告を報じた記事。プロンプトインジェクションはSQLインジェクションのように根本解決できない可能性があると指摘。
Authorization Bugs Are Having Their SQL Injection Moment(ZeroPath)(外部)
IDORとSQLインジェクションの組み合わせによる現代的リスクを詳述。LLMによる自動的な脆弱性探索の効率化を報告している。
【編集部後記】
あなたの会社でも、社内AIツールの導入が進んでいませんか? 利便性の裏側に、今回のような「見えないリスク」が潜んでいるとしたら——。
「プロンプトは新たな最重要資産」というCodeWallの言葉は、決して他人事ではないはずです。私たちも一緒に考えていきたいと思っています。
AIを使いこなす側として、セキュリティをどう捉えるべきか、ぜひ皆さんの声も聞かせてください。
