わずか0.01ユーロの送金が銀行AIエージェントを侵害するリスク：金融機関における新たなセキュリティ課題

本記事は、Blue41社による検証事例を通じて、金融機関が導入するAIアシスタントに潜む深刻な「間接的なプロンプトインジェクション」の脆弱性を警告しています。Bunq（ヨーロッパで2番目に大きなデジタル銀行）を対象としたテストでは、わずか0.02ユーロという少額の送金を利用し、その取引明細欄に巧妙に仕込まれたペイロードが原因で、AIアシスタントがフィッシング攻撃の配信チャネルとして悪用される可能性が実証されました。

この問題は特定の銀行に限定されるものではなく、トランザクションデータや顧客記録など「信頼されていない入力」を処理するすべての金融機関のアーキテクチャ上の課題です。通常、ユーザーがAIアシスタントに質問すると、関連する取引履歴などのコンテキスト情報が取得され、大規模言語モデル（LLM）によって要約されます。しかし、この際、第三者によって設定された「取引明細」のようなデータフィールドが、単なる情報としてではなく、「指示（Instruction）」として誤って解釈されるリスクがあります。

攻撃は非常に簡単で、マルウェアやソーシャルエンジニアリングを必要としません。攻撃者はまず少額送金を行い、その送金明細に悪意のあるプロンプトペイロードを含めます。その後、被害者が「最近の取引を見せて」といった日常的な質問をAIアシスタントに投げかけるだけで、システムが自動的にデータを取得し、LLMが注入された指示を実行することで、銀行自身のアプリ内から極めて信憑性の高いフィッシングメッセージ（再認証要求など）が生成されてしまいます。

筆者らは、この脆弱性に対抗するためには、単なる入力フィルターやガードレールだけでは不十分であり、「最小権限の原則」「取得データの信頼性区別」「機密出力・アクションの制限」「ランタイム動作監視」という多層的なセキュリティモデルが必要であると結論付けています。特に、AIアシスタントが「データ」と「指示」の境界を曖昧にすることこそが最大の脅威であり、金融機関はこれを新たな運用上のリスクとして認識する必要があるとしています。

---

背景

近年、銀行業界を含む多くの金融サービスにおいて、顧客体験向上と効率化のためAIアシスタントの導入が急速に進んでいます。これらのAIは大量の機密データ（取引履歴、口座情報など）にアクセスするため、セキュリティ上の信頼境界（Trust Boundary）の設定が極めて重要になっています。

重要用語解説

• プロンプトインジェクション: LLMなどの生成AIに対し、ユーザーインターフェースを介さずに外部から悪意のある指示を埋め込み、本来の機能とは異なる動作を引き起こす攻撃手法。
• 間接的プロンプトインジェクション: ユーザーが直接入力するのではなく、システムが外部から取得・参照したデータ（例：取引明細）の中に隠されたペイロードを利用して発生する、より巧妙なプロンプトインジェクションの一種。
• LLM (Large Language Model): 大量のテキストデータで訓練された大規模言語モデル。自然言語での質問に対し、文脈を理解し、人間が書いたような応答を生成するAIの中核技術。

今後の影響

本事例は、金融機関におけるAI導入のセキュリティ基準を引き上げることを強制します。今後は、単なる入力チェックだけでなく、データと指示の明確な分離（Data vs. Instruction）や、アシスタントの実行時の振る舞い（Behavioral Monitoring）を監視する多層的な防御策が必須となり、システム設計自体に大きな変更が必要となる見込みです。