マルチモーダル攻撃の到来：AIツールが新たな攻撃対象となる時

大規模言語モデル（LLM）がテキスト、画像、音声、コードを扱えるマルチモーダルシステムへと進化するにつれ、それらは外部ツールやコネクターの強力なオーケストレーターにもなりつつあります。この進化に伴い、組織が認識すべき攻撃対象領域が拡大しています。

その顕著な例がソーシャルエンジニアリングです。エージェントは人間のように振る舞うよう訓練されており、疑うことをさらに知らないため、その犠牲になり得ます。例えば、エージェントは偽装されたメールと正規の小売業者からのメールの違いを見分けることができない可能性が高いでしょう。

マルチモーダル性とツールアクセスの融合は、AIをアシスタントから攻撃の媒介手段へと変えます。攻撃者は今や、単純なテキストプロンプトを使用してツールの誤用を引き起こしたり、不正なアクションを実行したり、正当なチャネルを通じて機密データを外部に送信したりできるようになりました。これらの機能は防御ではなくアクセシビリティのために設計されているため、スキルの低い敵対者でさえ、一行のコードも書かずにAIシステムを利用して複雑な操作を実行できるのです。

マルチモーダルAIがエクスプロイトチェーンとなる仕組み

LLMは、APIからメール、クラウドストレージ、コード実行ツールに至るまであらゆるものを含む統合により、外部システムのオーケストレーターとしてますます重要になっています。これらのコネクターは、多くの場合、防御ではなくアクセシビリティのために構築されています。

このことの欠点は、新たなエクスプロイトの波を引き起こす可能性があることです。

一つは、プロンプト駆動型のツール誤用です。例えば、攻撃者はプロンプトインジェクションの指示が埋め込まれた画像をメールに挿入して使用できます。画像からテキストを抽出するには光学文字認識（OCR）ツールが必要です。エージェントはメールに返信し、ターゲットの自宅住所へのGoogleマップを添付するよう指示され、それにより被害者の位置情報の匿名性が剥奪されます。

もう一つのメカニズムは、クロスモーダルなガードレール回避です。これは、ツールの入口と出口の間に存在するガードレールに関連します。例えば、OCR抽出器の出力を分析すると、その出力から発見されたプロンプトインジェクションに対する十分に強力なガードレールが存在しない可能性があります。

悪用可能な構造的弱点も存在します。そのような問題の一つは、モデルとそれが呼び出せる外部ツールとの間の緩やかで過度に寛容なバインディングです。つまり、単純な自然言語プロンプトが、コードの実行、ファイルへのアクセス、メールとのやり取りといった実際のアクションを引き起こす可能性があります。それに加えて、これらのシステムの多くは厳格なアクセス制御を欠いているため、AIは人間が決して承認しないような範囲でデータを書き込み、削除、または変更する能力を持つかもしれません。コネクターやMCPスタイルの拡張機能に目を向けると、問題はさらに深刻になります。これらはほとんどの場合、ガードレールがほとんどなく提供され、一度接続されると、AIのアクセス範囲を個人ストレージ、受信トレイ、クラウドプラットフォームへと、ほとんど監視なしに拡大します。これらの構造的弱点が相まって、古典的なセキュリティ問題（データ流出、サンドボックス脱出、さらにはメモリ汚染）が、巧妙に作成されたプロンプトだけで引き起こされる環境を作り出しています。

新たな脅威：次に来るものは？

この新たな常態において、AIを利用したメールおよびソーシャルエンジニアリング攻撃が差し迫っています。攻撃者によるLLMの使用により、フィッシングの量は増加するでしょう。その障壁は、Googleなどのメールプロバイダーの通常のスパムフィルターを回避することです。受信トレイに接続されたAIエージェントは、フィッシング攻撃が成功する確率を高めます。ユーザーがエージェントをGmailやOutlookに接続するにつれ、メールベースの脅威が増加する可能性が高いです。

攻撃者は、AIに指示してスパムやスピアフィッシングキャンペーン全体を実行させることができます。このシナリオでは、

AI対AIのフィッシングが現実味を帯びてきます。

マルチモーダルシステムは、コード実行機能をますます提供しています。脱出経路により、攻撃者は基盤となるインフラを侵害できます。そしてサンドボックス脱出は、ベンダーにとって最大の評判上の悪夢を表しています。

長期的なメモリ汚染と遅延トリガーは、さらなる脅威を表します。永続的メモリにより、隠されたペイロードが将来のプロンプトで活性化する可能性があります。クロスモーダルなトリガー（例：画像やテキストの断片）が時限爆弾的な動作を引き起こす可能性があります。

マルチモーダル攻撃がこれほどまでに実行しやすく危険な理由

AIは攻撃能力を民主化しました。ユーザーはもはやコーディングやマルウェア開発のスキルを必要とせず、自然言語がマルウェア作成やデータ流出のインターフェースとなります。これは、非技術的な個人でさえ、プロンプトを介してマルウェアを生成したりキャンペーンを実行したりできることを意味します。

AIはまた、有害な操作の加速と規模拡大を可能にします。マルチモーダルエージェントは、かつて専門家の努力を必要とした作業を自動化できます。コード、メール、調査、偵察が瞬時に生成されます。

ユーザーの過信と意図しない露出が、AIの危害ポテンシャルに寄与しています。ユーザーはしばしばAIが何にアクセスできるかを理解しておらず、デフォルト設定ではAI統合が自動的に有効になることが増えています。多くの人々は、AIにメールや文書への過剰なアクセス権を付与してしまったことに気づいていません。

マルチモーダルセキュリティのための原則と対策

組織は、マルチモーダル攻撃に対するセキュリティ対策を実施しなければなりません。セキュリティチームは、デフォルトでツールへのアクセスを制限する必要があります。自動有効化された統合は、オプトイン制御に置き換えるべきです。また、すべてのAI接続システムに最小権限アクセスを適用し、書き込み/削除アクセスを削除すべきです。これには、クロスオリジンルールとドメインホワイトリスト（インフラストラクチャーレベルのホワイトリストであり、LLMレベルのホワイトリストではない）を含めるべきです。

もう一つの重要なステップは、ツール呼び出しのための明示的なガードレールを構築することです。自然言語トリガーを、構造化され型付けされたコマンド検証に置き換えます。ガードレールは、入力と出力の両方の絞りポイントであるべきです。

その他の重要な原則と対策には以下が含まれます：

• 機密性の高い操作に対して強力な承認ワークフローを実施する。
• ユーザーデータを永続的なモデルメモリに置くことを避ける。自動化されたメモリサニタイゼーションとプロビナンスチェックを適用する。
• コード実行環境を強化し、分離する。
• 不審な行動と脱出試行を監視する。
• ユーザー教育と透明性を強化する。
• エージェントがリスクの高いタスクを実行する際、より多くのユーザー確認を追加する。
• AIツールがメール、ファイル、クラウドリソースにアクセスしている際に、それを明確に示す。
• 高リスクなコネクターについてユーザーに警告する。

マルチモーダル攻撃に対処するために

AI技術はビジネスオペレーションのエージェントへと急速に変貌し、自然言語そのものがエクスプロイトの一形態となる状況を作り出しています。マルチモーダル性とツールアクセスの融合は攻撃対象領域を広げ、AIをアシスタントから攻撃の媒介手段へと変えます。マルチモーダル攻撃は、LLMとそれが制御するAPI、ファイルストレージ、自動化プラットフォームなどの外部システムとの間の緩やかな統合を悪用します。

脅威が進化するにつれ、組織はマルチモーダルな攻撃経路を明示的に考慮した戦略を採用しなければなりません。上記のベストプラクティスを用いて防御を強化することは、AIツールが意図せず攻撃者のエクスプロイトチェーンの一環として機能することを防ぐために不可欠です。