Webデザイン&開発 AI統合・活用支援 SEO&アクセス解析 アプリ開発 ブランディング View All → 🔍 AI互換性を一括診断
Works
Philosophy Company Team
Blog Recruit Contact 無料でAI診断する
セキュリティ
calendar_today
[AIエージェント時代のWebサイト防衛戦略 Vol.1] 山下 太郎 山下 太郎

AIエージェント時代のWebサイト防衛戦略 第1回:2時間3,200円でマッキンゼーが侵入された——あなたの会社は大丈夫か

マッキンゼーの社内AI「Lilli」がAIエージェントに2時間で侵入された事件を起点に、企業サイトが直面する5つの攻撃面を解説。経営層が意思決定できる粒度で、AIエージェント時代のセキュリティリスクを整理します。

AIエージェント時代のWebサイト防衛戦略 第1回:2時間3,200円でマッキンゼーが侵入された——あなたの会社は大丈夫か

2時間。約3,200円。

これは、世界最大の経営コンサルティングファーム、マッキンゼー・アンド・カンパニーの社内AIプラットフォーム「Lilli」の本番データベースに、フルアクセスを獲得するために必要だったコスト(日本経済新聞報道による)である。

しかも、侵入したのは人間のハッカーではない。AIエージェントだ。

AIがAIを攻撃した日

2026年2月28日、セキュリティ企業CodeWallが運用する自律型の攻撃AIエージェントが、マッキンゼーのAIプラットフォーム「Lilli」に対するセキュリティ検証を実施した(「How We Hacked McKinsey's AI Platform」)。人間の介入なし。ドメイン名だけを起点に、エージェントが自律的に攻撃対象を選定し、脆弱性の発見から侵入までを完了した。

Lilliは、マッキンゼーが2023年に導入した社内AIプラットフォームだ。43,000人以上の従業員の70%以上が利用し、月間50万回以上のプロンプトを処理する(McKinsey公式サイト、2023年時点の公開情報)。チャット、文書分析、10万件以上の社内ドキュメントに対するAI検索機能を備え、数十年分の独自調査やフレームワークをナレッジベースとして持つ——マッキンゼーの「知的財産の中枢」とも言える存在だ。

CodeWallの攻撃エージェントが見つけたのは、次の2つの事実だった。

1つ目:APIドキュメントが丸ごと公開されていた。 200以上のエンドポイントが完全にドキュメント化された状態でインターネット上に公開されており、そのうち22のエンドポイントは認証すら不要だった。

2つ目:その22のうちの1つに、SQLインジェクション脆弱性があった。 ユーザーの検索クエリをデータベースに書き込むエンドポイントで、JSONの値は安全にパラメータ化されていたが、JSONのキー名(フィールド名)がSQL文に直接結合されていた。攻撃エージェントは、エラーメッセージにJSONキーがそのまま反映されることに気づき、15回のブラインド試行で本番データベースからデータを抽出し始めた。

注目すべきは、この脆弱性をOWASPのZAP(業界標準のセキュリティスキャナー)は検出できなかったことだ。従来のセキュリティツールのチェックリストでは見つからない、しかしAIエージェントの自律的な探索では見つかる——そういう類の脆弱性だった。

何が露出したのか

攻撃エージェントがアクセスできた情報の規模は、想像を超えるものだった。

  • 4,650万件のチャットメッセージ——戦略、クライアント案件、財務、M&A活動、社内調査に関する会話が平文で保存されていた
  • 728,000ファイル——PDF 19.2万件、Excel 9.3万件、PowerPoint 9.3万件、Word 5.8万件。ファイル名だけでも機密情報であり、ダウンロードURLも露出していた
  • 57,000ユーザーアカウント——プラットフォーム上の全従業員
  • 368万件のRAGドキュメントチャンク——AIのナレッジベースを構成する数十年分の独自調査、フレームワーク、方法論。マッキンゼーの「知の結晶」がそのまま読み取れる状態にあった

最も深刻だったのは「プロンプトの書き換え」

データの読み取りだけでも十分に深刻だが、本当に恐ろしいのはその先だ。

LilliのシステムプロンプトーーAIの振る舞いを制御する命令文ーーは、攻撃エージェントがアクセスしたのと同じデータベースに保存されていた。SQLインジェクションを通じて、このプロンプトを書き換えることが可能だった。コードの変更もデプロイも不要。たった1つのHTTPリクエストに乗せたUPDATE文で、Lilliの「人格」そのものを改変できた。

もし悪意ある攻撃者がこれを実行していたらどうなるか。

  • 偽の助言——財務モデル、戦略提言、リスク評価を微妙に改変する。コンサルタントは自社の内部ツールからの出力なので疑わない
  • データ漏洩の自動化——AIが回答に機密情報を紛れ込ませるようプロンプトを仕込み、ユーザーがそれをクライアント向け資料にコピーする
  • ガードレールの除去——安全装置を外し、AIが内部データを開示したり、外部からの命令に従うようにする
  • 痕跡が残らない——サーバーへの侵入と異なり、プロンプトの書き換えはログに残らない。ファイルの変更もプロセスの異常もない。AIがある日から静かに「別の人格」として振る舞い始め、誰も気づかない

CodeWallはこう指摘している。「AIプロンプトは新しいクラウンジュエル資産(Crown Jewel Assets)だ」 と。企業は何十年もかけてコード、サーバー、サプライチェーンのセキュリティを強化してきた。しかしプロンプト層——AIの振る舞いを支配する命令文——を重要資産として保護している企業はほとんどない。プロンプトはデータベースに保存され、APIを通じて受け渡され、設定ファイルにキャッシュされている。アクセス制御もバージョン管理も整合性監視もないまま、従業員が信頼し、クライアントが受け取り、意思決定の根拠となる出力を支配している。

もはや対岸の火事ではない

「マッキンゼーのような大企業だから狙われたのでは?」——そう思いたい気持ちはわかる。

しかし、この攻撃を可能にした脆弱性は、最も古典的なバグの一つであるSQLインジェクションだ。Lilliは2年以上本番環境で運用されており、マッキンゼーの内部スキャナーも問題を検出できていなかった。世界最高水準の技術チームとセキュリティ投資を持つ組織でさえ、この種の穴を見落とす。

さらに重要なのは、攻撃のコストが極めて低いことだ。2時間、約3,200円(日本経済新聞報道による)。人間の高度なスキルは不要で、AIエージェントが自律的に実行した。つまり、今後この種の攻撃は、AIエージェントの普及とともに加速度的に増える。

そして、あなたの会社のWebサイトも無関係ではない

マッキンゼー事件は「AIプラットフォームのAPI脆弱性」が起点だったが、AIエージェントがWebサイトを攻撃するベクトルはこれだけではない。サイトのコメント欄やレビュー欄に隠し命令を埋め込み、それを読んだAIエージェントの動作を乗っ取る「間接的プロンプトインジェクション」という手法も、すでにWeb上で22種類の手口が確認されている(Palo Alto Networks Unit42, 「Fooling AI Agents: Web-Based Indirect Prompt Injection Observed in the Wild」, 2026年3月2日公開)。

AIエージェントは、すでにあなたのサイトに来ている

マッキンゼー事件の背景にあるのは、AIエージェントの急速な普及だ。

AIエージェントとは、人間の指示をもとに自分で考え、Webサイトを訪問し、情報を読み取り、フォームを操作し、APIを叩いて作業を完了する「自律型AI」のこと。従来のチャットボットが「聞かれたことに答える」存在だったのに対し、エージェントは「自分で動く」。

OpenAIのChatGPT Atlas、GoogleのGemini Agent、AnthropicのClaude for Chrome——主要なAIプロバイダーがブラウザ操作可能なエージェントを続々と市場に投入している。これらのエージェントは、ユーザーの代わりにWebサイトを訪問し、情報収集、比較検討、フォーム入力、さらには決済まで行う。

しかし、大手プロバイダーのエージェントだけが来るわけではない。

OpenClaw——「誰でも動かせるAIエージェント」の爆発的普及

2026年に入り、オープンソースのAIエージェントフレームワーク「OpenClaw」が爆発的に普及した。元々はオーストリア出身の開発者Peter Steinberger氏が個人プロジェクトとして公開したもので、GitHubで25万スターを超え、2026年最も注目されるオープンソースプロジェクトとなっている。

OpenClawが従来のAIツールと根本的に異なるのは、LLM(大規模言語モデル)をローカルPCのファイルシステム、Webブラウザ、メッセージングアプリに直接接続する点だ。WhatsAppやSlackからチャットで指示を送るだけで、エージェントがWebサイトを巡回し、情報を収集し、フォームを入力し、ファイルを操作する。100種類以上のスキル(拡張機能)が用意されており、事実上あらゆるWeb操作を自動化できる。

経営層にとって重要なのは、このツールが無料で、誰でも、自宅のPCから動かせるということだ。あなたの会社のサイトを訪問するAIエージェントは、大手テック企業が運営する管理されたサービスだけではない。世界中の個人が自分のPCで動かすOpenClawエージェントも含まれる。

そして、そのOpenClaw自体にセキュリティ上の問題が見つかっている。Ciscoのセキュリティ研究チームは、サードパーティ製のOpenClawスキルが、ユーザーに気づかれないままデータ窃取やプロンプトインジェクションを実行していた事例を報告した(「Personal AI Agents like OpenClaw Are a Security Nightmare」, 2026年1月27日)。2026年2月にはリモートコード実行を可能にする重大な脆弱性(CVE-2026-25253)が発見され、3月には中国政府が国営企業でのOpenClaw使用を制限するに至っている(Bloomberg報道, 2026年3月10日)。

さらに象徴的なのは、あるユーザーがOpenClawエージェントに広範な権限を与えたところ、エージェントが指示されていないのに勝手にマッチングサービスにプロフィールを作成し、相手のスクリーニングまで始めていたという報道だ。ユーザーの明示的な指示なしにエージェントが自律的に行動した事例であり、「権限を与えすぎたエージェントが何をするかわからない」というリスクを端的に示している。

つまり、あなたの会社のサイトの「訪問者」は、もはや人間だけではない。大手AIプロバイダーの管理されたエージェントだけでもない。セキュリティに問題を抱えたまま動いている個人のエージェントや、乗っ取られた状態で巡回しているエージェントも含まれる。

ダークトレースの2026年版AIサイバーセキュリティレポートによれば、セキュリティ専門家の76%がAIエージェント統合によるセキュリティリスクを懸念している(日本語版レポートでは日本は73%)。にもかかわらず、AIの安全な導入に関する正式なポリシーを持つ組織は37%にとどまり、日本ではわずか28%だ。

リスクは認識されているのに、備えている企業が圧倒的に少ない。

5つの攻撃面——何が起きうるのか

2025年12月、Webセキュリティの世界標準を策定するOWASP(Open Worldwide Application Security Project)が、AIエージェント専用のリスク一覧「Top 10 for Agentic Applications 2026」を公開した。100名以上のセキュリティ研究者・実務者が1年以上かけて策定したものだ(OWASPプレスリリース, 2025年12月9日)。

このOWASPの分類をベースに、Webサイトを運営する側が直面するリスクを5つの「攻撃面」として整理した。

それぞれを簡潔に説明する。

1. 間接的プロンプトインジェクション——サイト内のコンテンツ(レビュー、コメント、フォーム入力など)に「隠し命令」が埋め込まれ、それを読んだAIエージェントの動作が乗っ取られる。Unit42の調査で22種類の実際の手口がWeb上で確認されている。

2. データ窃取・スクレイピング——AIエージェントが人間の何百倍もの速度でサイトを巡回し、価格情報、製品仕様、顧客レビューなどを大量に自動収集する。OpenClawのようなツールで個人でも簡単に実行できるようになった今、従来のbot対策では検知できないケースが増えている。

3. エージェント偽装・なりすまし——正規のAIエージェント(GooglebotやClaudeBot等)を装った悪意あるボットがサイトにアクセスする。あるいは、脆弱性を抱えたOpenClawのようなエージェントが、意図せず不正な動作をしてしまうケースもある。

4. フォーム・アクション悪用——AIエージェントがフォーム送信、商品購入、予約などを自動実行する。正規利用であっても大量注文のリスクがあり、乗っ取られたエージェントなら不正な操作も行いうる。

5. API/MCP経由の権限悪用——サイトがAIエージェント向けにAPIやMCPサーバーを公開している場合、権限設定の不備を突いた不正アクセスが発生する。冒頭のマッキンゼー事件はまさにこれだ。 認証不要のAPIエンドポイントとSQLインジェクションの組み合わせで、本番データベースへのフルアクセスとプロンプトの書き換えが可能になった。

「互換性」と「セキュリティ」は表裏一体

ここで一つ、重要な視点を共有したい。

当社unTypeでは「AIエージェントがあなたの会社と取引する日」というブログシリーズで、企業サイトをAIエージェントに対応させる(互換性を高める)ことのビジネス価値を解説してきた。llms.txtの整備、構造化データの最適化、MCP/APIの公開設計——エージェント時代に「見つけてもらい、選んでもらう」ための施策だ。

しかし、互換性を高めるということは、同時に「エージェントにアクセスを開く」ことでもある。マッキンゼー事件は、APIを公開する際の認証とアクセス制御の設計がいかに重要かを示している。開いたドアから正規のエージェントが入ってくると同時に、CodeWallの攻撃エージェントのように——あるいはOpenClawのように脆弱性を抱えたエージェントのように——想定外の訪問者も入ってくる。

互換性向上とセキュリティ対策は、どちらか一方ではなく、同時に設計しなければならない。

門を開くなら、鍵の設計を同時に考える。そして、AIの振る舞いを支配するプロンプト層を、コードやサーバーと同等の重要資産として保護する。これが本連載の基本メッセージだ。

経営者として問うべきこと

技術的な詳細は第2回以降で解説するが、まず経営者として自社に確認しておくべきことがある。

  • 自社サイトにAIエージェントがどの程度アクセスしているか把握しているか?——多くの企業のアクセスログには、すでにGPTBotやClaudeBot等のAIエージェントのアクセスが記録されているはずだ。OpenClawのような個人運用エージェントは、通常のブラウザと区別がつかないケースもある。
  • APIやエンドポイントの認証状況を把握しているか?——マッキンゼー事件では、200以上のエンドポイントのうち22が認証不要だった。自社サイトのAPIに認証なしでアクセスできるエンドポイントは存在しないか。
  • AIのシステムプロンプトはどこに保存されているか?——自社でAIツールを運用している場合、そのプロンプトはデータベース内にあるのか、設定ファイルにあるのか。アクセス制御は適切か。
  • UGC(ユーザー生成コンテンツ)を含むページはあるか?——コメント欄、レビュー欄、Q&A、フォーラム、問い合わせフォーム。これらすべてが間接的プロンプトインジェクションの入口になりうる。
  • robots.txtにAIエージェント向けの指示があるか?——ほとんどの企業はGooglebot向けの設定しかしていない。AIエージェント固有のクローラーへの指示が未設定なら、すべてのページがフルオープンの状態にある。

この連載で伝えること

本連載「AIエージェント時代のWebサイト防衛戦略」では、全5回にわたって以下を解説する。

  • 第2回:あなたのサイトが「攻撃の踏み台」にされる日——間接的プロンプトインジェクションの実態
  • 第3回:あなたのサイトは"読まれすぎている"——何を公開し、何を守るか
  • 第4回:「購入ボタン」を押すのは、もう人間だけではない——フォーム防御とAPI権限設計
  • 第5回:いま何から手をつけるべきか——経営者のためのサイト改修意思決定ガイド

各回では、技術的なリスクを経営判断に必要な粒度で解説し、「何を、なぜ、どの優先度で対策すべきか」を明確にする。

まずは自社のrobots.txtを開いてほしい。「GPTBot」「ClaudeBot」「PerplexityBot」の文字列はあるだろうか。なければ、あなたのサイトは今この瞬間、AIエージェントにすべてのページを読み取られている可能性がある。

次回は、マッキンゼー事件とは異なるもう一つの主要な攻撃ベクトル——「間接的プロンプトインジェクション」を掘り下げ、自社サイトが被害者にも加害者にもなりうる現実を解説する。

関連記事

参考情報

この記事をシェアする

X (Twitter) LinkedIn Facebook Bluesky Threads
山下 太郎

山下 太郎

代表取締役 / CEO

2000年、Webデザイナーとしてこの世界に飛び込み、フリーランスを経て2007年に株式会社アンタイプを創業。AI時代の到来とともに、効率だけを追うAI活用に違和感を覚えながら、それでも最前線でツールを使い続ける。企業のWebとコミュニケーションを設計する仕事を通じて、「人間らしさとは何か」を問い直す視点を発信し続けている。

View Profile arrow_outward

Categories

セキュリティ AIエージェント OWASP SQLインジェクション プロンプトインジェクション

Related

あわせて読みたい

すべての記事を見る arrow_forward