プロンプトインジェクション攻撃が企業インフラを標的に、Grafana AIとFlowise脆弱性で実被害が発生

Grafana AIを標的とした零クリック攻撃の仕組み

2026年4月7日、セキュリティ研究者らがGrafanaのAI機能を悪用した新しい攻撃手法を発表した。この攻撃は間接的プロンプトインジェクション技術を使用し、ユーザーの認証や操作を一切必要としない「零クリック攻撃」を実現している。攻撃は、ユーザー制御可能な入力がGrafanaのAIコンポーネントによって後で処理される注入ポイントの特定から始まる。Noma研究者らは、間接的プロンプトが埋め込まれた細工されたパスがシステムに永続化され、後に正当な入力として解釈されることを発見した。

攻撃者は間接的プロンプトインジェクション技術を使用してAIに悪意ある命令を実行させる。このプロセスでは、モデルが命令を無害なものとして解釈している間に、機密データを含むリクエストを生成するよう騙される。この攻撃チェーンは、通常のダッシュボードワークフローに溶け込む自動化された零クリックデータ漏洩を可能にする。研究者のVaradrajanは、攻撃者がシステムコンポーネントを設計通りに使用するが、「モデルが悪意あるものとして検証できない命令」を使用する盲点を悪用していると指摘している。

Flowise脆弱性の実攻撃確認と影響規模

CVE-2025-59528として識別されたFlowiseの重大な脆弱性に対する初の実攻撃が、2026年4月6日にVulnCheckによって確認された。同社のセキュリティ研究担当VP、Caitlin Condonは「今朝早く、VulnCheckのCanaryネットワークがCVE-2025-59528の初回実攻撃を検知した。これは、FlowiseにおけるJavaScriptコードの任意実行脆弱性である」とLinkedInで報告した。観測された活動は単一のStarlink IPアドレスから発信されており、当時約1万2000から1万5000のインスタンスが露出していたとされる。

この脆弱性は、MCPサーバー構成の構築に使用されるユーザー提供入力が、Node.jsランタイム権限でJavaScriptコードとして評価・実行される関数に直接渡されることが原因である。これにより、リモートコード実行とファイルシステムへのアクセスが可能となる。成功した攻撃により、攻撃者は脆弱なシステムの制御を取得し、機密情報を漏洩させることができる。Flowiseは勧告で「APIトークンのみが必要なため、これはビジネス継続性と顧客データに極度のセキュリティリスクをもたらす」と述べている。

パッチ状況と対応の遅れ

FlowiseのCVE-2025-59528は、バージョン3.0.5まで影響し、2025年9月にリリースされたバージョン3.0.6でパッチが適用された。つまり、パッチが数ヶ月前から利用可能であったにも関わらず、多くのインスタンスが未だに脆弱なままであることを示している。この状況は、企業のパッチ管理プロセスに重大な問題があることを浮き彫りにしている。VulnCheckの観測によると、攻撃開始時点で1万台を超える脆弱なインスタンスが存在していたが、そのうちどれだけが実際に脆弱なFlowiseバージョンを実行していたかは不明である。

セキュリティ専門家らは、このような重要なAIワークフローツールの脆弱性放置が企業に深刻な影響を与える可能性を警告している。特にFlowiseは多くの企業でAIワークフローの構築に使用されており、システムの完全な制御を可能にするこの脆弱性は、データ漏洩から業務停止まで広範囲な被害をもたらす可能性がある。

間接的プロンプトインジェクションの脅威評価

BeyondTrustの上級副社長兼副CISOのBradley Smithは、この発見について「基礎となる技術は十分に文書化されている」と述べ、データ漏洩につながる間接的プロンプトインジェクションはAI対応プラットフォーム全体で既知のリスクであると指摘した。しかし、実際の攻撃事例の確認により、理論的脅威が現実のものとなったことが証明された。間接的プロンプトインジェクション攻撃は、AIシステムが外部データソースから情報を取得する際に、その中に隠された悪意ある命令を無意識に実行してしまう手法である。

この攻撃手法の特徴は、従来のセキュリティ対策では検出が困難であることだ。攻撃者はシステムの正常な動作フローを利用するため、異常な活動として識別されにくい。また、AIモデル自体が攻撃の媒体となるため、モデルの判断プロセスに介入することで、セキュリティ制御を回避することが可能となる。これまでの注入攻撃とは異なり、プロンプトインジェクションはAIの推論能力そのものを悪用するため、より高度で検出困難な脅威となっている。

企業インフラへの実際の影響と事例

2026年4月に確認された一連の攻撃は、AIを活用した企業インフラが新たな攻撃対象となっていることを明確に示している。Grafanaの事例では、企業のダッシュボードから機密データが自動的に漏洩する可能性があり、これは従来のアクセス制御やネットワークセキュリティでは防げない新しいタイプの脅威である。攻撃者は通常の画像リクエストを装って機密データを窃取できるため、ネットワーク監視でも検出が困難である。

Flowiseの攻撃では、AIワークフローを構築・管理するプラットフォームそのものが攻撃対象となった。これにより、企業のAI運用全体が危険に晒される可能性がある。攻撃者がシステムの完全な制御を取得した場合、顧客データの窃取、業務プロセスの改ざん、さらには他のシステムへの横展開攻撃の踏み台として利用される恐れがある。特に金融機関や医療機関など、高度な機密データを扱う組織では、このような攻撃の影響は計り知れない。

効果的な対策と予防措置

プロンプトインジェクション攻撃に対する効果的な対策には、多層防御アプローチが必要である。まず、入力検証の強化が重要で、AIシステムに渡されるすべての外部データに対して厳格なサニタイゼーションを実施する必要がある。また、AIモデルの出力に対しても、機密データの漏洩を防ぐためのフィルタリング機能を実装することが求められる。権限の最小化原則に基づき、AIシステムがアクセスできるデータと機能を必要最小限に制限することも重要である。

Flowise等のAIプラットフォームを使用する企業は、定期的なセキュリティ更新とパッチ管理プロセスの見直しが急務である。特に、CVE-2025-59528のような重大な脆弱性に対しては、発見後速やかにパッチを適用する体制を整える必要がある。また、AIシステムの動作ログを詳細に監視し、異常な動作パターンや予期しないデータアクセスを検出するための監視システムの導入も有効である。さらに、AIシステムを外部ネットワークから分離し、必要最小限の通信のみを許可するネットワークセグメンテーションの実装も推奨される。