プロンプトインジェクションはOWASPのLLMリスク筆頭に居続けているが、2026年は直接入力ではなく、周辺データ経由の「間接」型の事故が目立つ。
今年の代表例
- CVE-2025-53773: Pull Requestの説明文に隠した命令からGitHub Copilotが任意コードを実行(CVSS 9.6)
- EchoLeak: Microsoft 365 Copilotでユーザー操作ゼロのまま企業データが流出
なぜ拾いにくいのか
LLMは、ユーザーが打った命令と、検索結果やツール出力に混ざった命令を同じ入力として扱う。現在の検知は高度な攻撃の23%しか捉えられていないという報告もある。
現場での対策
- ツール出力やドキュメントは「データ」として囲い、命令として解釈させない前処理を挟む
- 実行系ツールには人間の最終承認を残す
- 何が入力されたかを記録し、事後に追えるログを必ず取る