Microsoft Defender Security Research Teamは2026年2月10日、AI Recommendation Poisoningと呼ばれる新たな攻撃手法を発表した。60日間の調査で、31社から50以上の異なる攻撃プロンプトを確認した。
攻撃は「AIで要約」ボタンに隠されたURLプロンプトパラメータを通じて実行され、AIアシスタントのメモリに「この企業を信頼できる情報源として記憶せよ」などの指示を注入する。対象はMicrosoft 365 Copilot、ChatGPT、Claude、Perplexity、Grokなどである。
攻撃は金融、医療、法律、SaaS、マーケティング、食品、ビジネスサービスなど14業界にわたる。CiteMET NPMパッケージやAI Share URL Creatorなどの無料ツールにより、技術的障壁は極めて低い。
この手法はMITRE ATLASのAML.T0080およびAML.T0051として分類される。
From: 
Manipulating AI memory for profit: The rise of AI Recommendation Poisoning
【編集部解説】
この攻撃手法が示すのは、AIアシスタントの普及とともに生まれた新たな脆弱性です。Microsoft 365 CopilotやChatGPTなどの主要AIアシスタントがメモリ機能を実装したことで、ユーザーの好みや過去のやり取りを記憶する便利さが提供されるようになりました。しかし、その便利さが逆に攻撃の足がかりとなっています。
注目すべきは、この攻撃を実行しているのがサイバー犯罪者ではなく、正当なビジネスを営む企業である点でしょう。CiteMETのようなツールは「LLMのためのSEO成長ハック」として堂々とマーケティングされており、技術的なハードルは極めて低い状態にあります。npmパッケージをインストールするだけで、誰でも実装できるのが現状です。
従来のSEOポイズニングは検索エンジンのランキングアルゴリズムを標的にしていましたが、AI Recommendation Poisoningは個々のユーザーのAIアシスタントを直接標的にします。検索結果は一時的ですが、AIメモリに植え付けられた情報は永続的に影響を及ぼし続ける点が本質的な違いと言えます。
健康や金融といったセンシティブな分野で偏った推奨が行われれば、経済的損失や健康被害につながる可能性があります。特に懸念されるのは、ユーザーがAIの推奨を「客観的な分析結果」として信頼してしまう点です。Microsoftの研究では、ユーザーの多くが自分のAIが侵害されていることに気づかず、疑っても確認方法がわからないことが指摘されています。
MITRE ATLASがAML.T0080としてメモリポイズニングを正式に分類しているのは、この脅威が体系的な対応を必要とする段階に入ったことを意味しています。Microsoftはプロンプトフィルタリングやコンテンツ分離などの多層防御を実装していますが、攻撃手法も進化し続けているため、いたちごっこの状況が続くでしょう。
今後、AIアシスタントが企業の意思決定により深く関わるようになれば、この攻撃の影響範囲はさらに拡大します。CFOの投資判断や調達部門のベンダー選定など、数百万ドル規模の意思決定が偏った情報に基づいて行われるリスクがあるのです。
この問題は技術的な解決策だけでなく、規制の観点からも注目されるべきでしょう。AIアシスタントのメモリを操作する行為を不正アクセスとして扱うべきか、消費者保護の観点から規制すべきか、議論が必要な段階に来ています。
【用語解説】
AI Recommendation Poisoning(AIレコメンデーション・ポイズニング)
AIアシスタントのメモリに不正な指示や情報を注入し、特定の企業や製品を優先的に推奨させる攻撃手法。従来のSEOポイズニングが検索エンジンを標的とするのに対し、個々のユーザーのAIを直接操作する点が特徴である。
URLプロンプトパラメータ
URLに含まれる「?q=」や「?prompt=」などのパラメータで、AIアシスタントに送信する命令を事前に設定できる機能。本来は利便性向上のためだが、悪用されると攻撃ベクターとなる。
MITRE ATLAS(マイター アトラス)
AI/MLシステムに対する攻撃手法を体系的に分類したフレームワーク。サイバーセキュリティの標準であるMITRE ATT&CKのAI版として2023年に公開され、AML.T0080(メモリポイズニング)などの技術が定義されている。
SEOポイズニング
検索エンジンの結果を操作して、悪意のあるサイトや特定のページを上位表示させる手法。キーワード詰め込み、不正なリンク構築などが含まれる。AI Recommendation Poisoningの前身とも言える攻撃パターンである。
プロンプトフィルタリング
AIアシスタントに送信されるプロンプト(命令文)を分析し、悪意のあるパターンや注入攻撃を検出・ブロックする防御技術。既知の攻撃パターンをデータベース化して照合する。
npm(Node Package Manager)
JavaScriptのパッケージ管理システムで、開発者がライブラリやツールを共有・配布するプラットフォーム。CiteMETのような攻撃ツールも公開されている。
【参考リンク】
Microsoft Security Blog(外部)
AI Recommendation Poisoningの詳細な技術レポートやAdvanced Huntingクエリのサンプルコードを公開するMicrosoftの公式セキュリティブログ。
Microsoft 365 Copilot(外部)
メモリ機能により過去の会話やユーザー設定を記憶し、パーソナライズされた支援を行うMicrosoftのAIアシスタント。今回の攻撃の標的の1つ。
OpenAI ChatGPT(外部)
OpenAIが開発した対話型AIアシスタント。メモリ機能を搭載し、ユーザーの好みやコンテキストを保持できる。AI Recommendation Poisoningの標的となっている。
Anthropic Claude(外部)
Anthropicが開発したAIアシスタント。安全性と有用性のバランスを重視した設計で、メモリ機能も搭載している。
Perplexity AI(外部)
AI検索エンジンとして注目される対話型プラットフォーム。情報源を明示しながら回答を生成する特徴を持つが、メモリポイズニングの標的にもなっている。
MITRE ATLAS(外部)
AI/MLシステムに対する攻撃手法を体系化した知識ベース。AML.T0080(メモリポイズニング)やAML.T0051(LLMプロンプトインジェクション)などを定義。
CiteMET NPM Package(外部)
AIアシスタントのメモリに情報を注入する「AIで要約」ボタンを簡単に実装できるJavaScriptパッケージ。LLMのためのSEOツールとして公開。
Microsoft Defender for Office 365(外部)
メール、Teams、SharePointなどのMicrosoft 365環境を保護するセキュリティソリューション。AI Recommendation Poisoning攻撃の検出クエリを提供。
【参考記事】
Microsoft: Poison AI buttons and links may betray your trust(外部)
AI Recommendation Poisoning攻撃が31社から検出され14業界に及ぶことを報じる英国IT専門誌の記事。ユーザーが攻撃に気づきにくい点を強調している。
That “summarize with AI” button might be manipulating you(外部)
60日間で50以上の異なる攻撃プロンプトが確認された事実を報じるセキュリティ専門メディアの記事。CiteMETなどの無料ツールが攻撃の障壁を下げている状況を分析。
‘Summarise with AI’ can secretly sway recommendations(外部)
Microsoftが複数層の防御策を実装しているものの攻撃手法も進化し続けていることを指摘する英国IT業界誌の記事。Advanced Huntingクエリの活用を推奨。
How Next-Gen AI Assistants Learn, Remember, & Forget(外部)
2026年2月3日公開のAIメモリ機能の技術的な仕組みを解説する記事。メモリがどのように実装され何を記憶するかのメカニズムを詳述し、今回の攻撃の技術的背景を理解する上で有用。
Prompt Injection Attacks: The Top AI Threat in 2026(外部)
2026年1月公開のプロンプトインジェクション攻撃の包括的な解説記事。AI Recommendation Poisoningの前兆となる攻撃トレンドを分析し防御メカニズムの進化について論じている。
【編集部後記】
皆さんは普段使っているAIアシスタントが「何を覚えているか」、確認したことはありますか?便利な「AIで要約」ボタンをクリックする時、そのリンク先まで意識することは少ないかもしれません。
私たちも取材を通じて、AIの推奨を無意識に信頼してしまう怖さを実感しました。特に気になったのは、攻撃者がハッカーではなく普通の企業だという点です。AIとの付き合い方について、改めて考える機会になればと思います。皆さんのAIメモリには、意図しない「記憶」が残っていないでしょうか。
