「OWASP Top 10 for Large Language Model Applications」2025年版のリスク概説

OWASPの生成AIのセキュリティプロジェクト

OWASP（オワスプ、Open Worldwide Application Security Project）は、20年以上にわたり活動を続けている、ソフトウェアセキュリティに関する教育と情報の提供を目的とした非営利団体です。主な活動である「OWASP Top 10」では、Webアプリケーションのセキュリティに関する重大な10つのリスクをまとめたリストを、数年ごとに更新・公開しています。

OWASPは2023年5月に、「OWASP Gen AI Security Project」を発足させました。組織が急速に生成AI、特にLLM（Large Language Model：大規模言語モデル）を導入するなかで、AIに対する攻撃、プロンプトインジェクション、AIの使用に起因するデータ漏洩、ガバナンスリスクなどへの懸念が高まりました。その一方で、AI向けの体系的なセキュリティフレームワークはほとんど存在していない実態への危機感から、リスクを分類して緩和策を策定しようというプロジェクトが始動したのです。

トレンドマイクロでは、この「OWASP Gen AI Security Project」をゴールドスポンサーとして支援しています。当社は、約20年前からAI技術の研究、製品機能の開発を行っていますが、当社のミッション「デジタルインフォメーションを安全に交換できる世界の実現」に向けて、AIのセキュリティリスクの特定と軽減にも注力しています。

＜参考記事＞Top 10 for LLM & Gen AI Project Ranked by OWASP

同プロジェクトのもと、2023年5月には「OWASP Top 10 for LLM^※」のバージョン0.5が公開され、同年10月には「OWASP Top 10 for LLM Applications」としてバージョン1.1が、2024年11月にはバージョン2025が公開されました。前バージョンと同様にバージョン2025には、Top 10のリスク、それぞれの予防策・緩和策、また攻撃シナリオの例も示されています。本記事ではTop 10のリスクに焦点を当て、それぞれの概要を解説します。
※正式名称は、「OWASP Top 10 for LLM Applications & Generative AI Project」。

＜参考記事＞OWASPが提示するAIリスクのTop 10を読み解く（バージョン1.1の解説）

2025年版LLMアプリケーションのリスクTop 10は？

LLM01:2025 プロンプトインジェクション（Prompt Injection）

プロンプトインジェクションは、ユーザのプロンプトによってLLMの動作や出力が意図しない形で変更される現象です。これにより、モデルがガイドラインに違反したり、有害なコンテンツを生成したり、不正アクセスを可能にしたり、重要な意思決定に影響を及ぼしたりする可能性があります。RAG（Retrieval Augmented Generation：検索拡張生成）やファインチューニング^※技術はLLMの出力を改善することを目的としていますが、これらがプロンプトインジェクションの脆弱性を完全に解消するわけではないことが研究で示されています。
※ファインチューニング：事前トレーニング済みの汎用モデルに対して、特定領域のデータセットを用いて追加でトレーニングを行い、その領域の知識を付与するもの。

プロンプトインジェクションと脱獄（ジェイルブレイク）は関連する概念で、同義語のように使われることがあります。
プロンプトインジェクションは、特定の入力によってモデルの応答を操作することを指します。
脱獄はプロンプトインジェクションの一形態で、モデルに安全プロトコルを無視させるような入力を攻撃者が行うものです。

システムプロンプト（アプリケーションの目的、つまり何をしてほしいのかをAIに指示するプロンプト）に安全策を組み込むことで、こうした攻撃を低減できますが、モデルのトレーニングと安全メカニズムの継続的な更新により、一層の効果が期待できます。

＜参考記事＞
・プロンプトインジェクションとは
・RAGとは？ChatGPTなどの生成AIの性能を向上する仕組み

LLM02:2025 機密情報の漏洩（Sensitive Information Disclosure）

LLMは、機密データ、独自のアルゴリズム、機密情報などを出力することによって、情報漏洩を引き起こすリスクを抱えています。出力内容により、不正アクセス、プライバシー侵害、知的財産権の侵害につながる可能性があるため、ユーザはLLMと安全にやりとりする方法を理解する必要があります。機密情報を意図せずLLMに入力すると、後にそれをLLMが出力し、情報漏洩につながることも起こり得ます。

このリスクを軽減するには、適切なデータサニタイズを行い、機密データがトレーニングモデルに含まれないようにすることが重要です。また、アプリケーションの提供者は利用規約を明示し、ユーザが自身のデータをトレーニングモデルに含めないよう選択できる仕組みを提供するのが望ましいです。さらに、LLMが返すデータタイプの制限をシステムプロンプトに追加することも、情報漏洩防止の手段になるでしょう。だだし、こうした制限は常に守られるわけではなく、プロンプトインジェクションや他の手法によって回避される可能性があります。

LLM03:2025 サプライチェーンの脆弱性（Supply Chain）

LLMのサプライチェーンはさまざまな脆弱性にさらされており、トレーニングデータ、モデル、デプロイメントプラットフォームの完全性に影響を与える可能性があります。これらのリスクは、バイアスのある出力、セキュリティ侵害、システム障害を引き起こすことがあります。従来のソフトウェアの脆弱性がコードの欠陥や依存関係に焦点を当てるのに対し、LLMではサードパーティの事前学習モデルやデータにもリスクが及びます。

これらの外部要素は、改ざんやポイズニング攻撃を通じて操作される可能性があります。
LLMの開発は専門的な作業であるため、しばしばサードパーティのモデルに依存します。オープンアクセス^※のLLMや、新しいファインチューニング手法の登場は、特にHugging Faceのようなプラットフォームで、新たなサプライチェーンリスクを引き起こします。また、デバイス上で動作するLLMの出現により、LLMアプリケーションに対するアタックサーフェスとサプライチェーンリスクが増大しています。
※オープンアクセス：主に研究成果をインターネットを通じて無料で閲覧可能な状態にすること。

LLM04:2025 データおよびモデルの汚染（Data and Model Poisoning）

データポイズニングとは、事前学習、ファインチューニング、データ埋め込みが操作され、脆弱性やバイアスなどが生成される現象です。これにより、モデルのセキュリティや性能、倫理的行動が損なわれ、有害な出力や性能低下を引き起こすリスクがあります。

データポイズニングは、LLMのライフサイクルの各段階（事前学習、ファインチューニング、埋め込み）で発生する可能性があり、これらの段階を理解することで脆弱性の発生源を特定しやすくなります。特に外部データソースは未確認の不正なコンテンツを含む可能性が高く、リスクが増大します。

さらに、共有リポジトリやオープンソースプラットフォームを通じて配布されるモデルでは、モデルが読み込まれた際に不正コードを実行するようなマルウェアが埋め込まれる可能性があります。また、ポイズニングによってバックドアが実装されることもあり、特定のトリガが発生するまではモデルの挙動に影響を与えず検出しづらいため、モデルが「スリーパーエージェント^※」となる危険性があります。
※スリーパーエージェント：潜伏工作員のように、普段は挙動に問題がなくても、特定のトリガにより有害な行動をとる可能性があることを指す。

LLM05:2025 不適切な出力処理（Improper Output Handling）

不適切な出力処理とは、LLMが生成した出力が下流のシステムに渡る前に、十分に検証やサニタイズされない状況を指します。この脆弱性が悪用されると、ウェブブラウザでのXSS（クロスサイトスクリプティング）やCSRF（クロスサイトリクエストフォージェリ）、SSRF（サーバサイドリクエストフォージェリ）^※、特権昇格、リモートコード実行などのリスクが生じる可能性があります。
※SSRF：攻撃者から直接到達できないサーバに対する攻撃手法の一種。攻撃者は公開サーバから、外部には公開していない内部サーバに何らかの方法でリクエストを送信し、内部サーバに処理を実行させる。

この脆弱性は、いくつかの条件下で増大することがあります。その例を次に示します。

・アプリケーションがLLMに、エンドユーザの意図した以上の権限を与えており、特権昇格やリモートコード実行を可能にしている。
・アプリケーションが間接的なプロンプトインジェクション攻撃に対して脆弱であり、攻撃者が標的ユーザの環境に特権アクセスを得ることができる。
・サードパーティの拡張機能が、入力の検証を十分に行っていない。

LLM06:2025 過剰な能力付与（Excessive Agency）

LLMベースのシステムには、開発者が一定の「Agency（行動を起こす能力や、何をすべきか選択する能力）」を付与することがしばしばあります。つまり、ユーザのプロンプトに応えるために、機能を呼び出したり、拡張機能を用いて他のシステムとやり取りしたりする能力です。どの拡張機能を呼び出すかの決定もまた、LLMの「Agency」に委ねられ、ユーザの入力プロンプトやLLMの出力に基づいて動的に判断されることがあります。

過剰な能力の根本原因は、通常、次のいずれかです。
●過剰な機能（excessive functionality）
●過剰な権限（excessive permissions）
●過剰な自律性（excessive autonomy）

過剰な能力は、機密性、完全性、可用性の広範に幅広い影響をもたらす可能性があり、これはLLMアプリケーションがどのシステムとやり取りできるかに左右されます。

LLM07:2025 システムプロンプトの漏洩（System Prompt Leakage）

システムプロンプトは、アプリケーションの要件に基づいてモデルの出力を方向付けるために設計されていますが、誤って機密情報が含まれることがあります。この情報は、他の攻撃を助長する可能性があります。認証情報や接続文字列^※などの機密データは、システムプロンプト内に含めるべきではありません。
※データベースに接続するための情報を含む文字列のこと。

システムプロンプトの公開自体は、実際のリスクを引き起こすわけではありません。セキュリティリスクは、例えば機密情報の漏洩、システムガードレールのバイパス、不適切な権限分離などにあります。また、正確なシステムプロンプトが開示されていなくても、攻撃者がモデルとやり取りし、その結果を観察することで、システムプロンプトに存在するガードレールやフォーマット制限をほぼ確実に特定できます。

LLM08:2025 ベクトルおよび埋め込みの脆弱性（Vector and Embedding Weaknesses）

ベクトル^※と埋め込みの脆弱性は、RAGを利用したLLMシステムにおいて重大なセキュリティリスクをもたらします。ベクトルや埋め込みが生成、保存、または取得される過程での脆弱性は、不正な行動によって悪用される可能性があり、悪影響を及ぼすコンテンツを注入されたり、モデルの出力を操作されたり、機密情報にアクセスされたりするおそれがあります。
RAGは、事前学習済みの言語モデルと外部のリソースを組み合わせることで、LLMアプリケーションからの応答のパフォーマンスと文脈的関連性を向上させる技術です。RAGではベクトルと埋め込みを使用しています。
※ベクトル：ある情報の特徴や情報の関係性を数字で表現したもの。AIがデータを利用する際に、情報同士の意味的な類似性を見出す際に利用される。文章などをベクトル化することを「埋め込み（Embedding）」という。

LLM09:2025 誤情報（Misinformation）

誤情報は、LLMが虚偽または誤解を招く情報を生成し、それが信頼できるものに見える場合に発生します。この脆弱性は、セキュリティ侵害、評判の損傷、法的責任を引き起こす可能性があります。

誤情報の主な原因の1つはハルシネーション（幻覚）です。ハルシネーションとは、正しいように見えるが根拠のない情報をLLMが生成する現象で、LLMが統計的パターンを使用してトレーニングデータのギャップを埋めることによって発生しますが、モデルはそのコンテンツを真に理解しているわけではありません。

また誤情報の他の要因として、トレーニングデータに含まれるバイアスや不完全な情報も挙げられます。さらに、ユーザがLLMの生成コンテンツに過度の信頼を置き、その正確性を検証しない場合には、誤情報のネガティブな結果が引き起こされます。

LLM010:2025 無制限のリソース消費（Unbounded Consumption）

無制限のリソース消費は、ユーザがLLMアプリケーションに過剰で制御されない推論を行わせる場合に発生し、サービス拒否（DoS）、経済的損失、モデルの盗難、サービスの低下などのリスクを引き起こします。特にクラウド環境において、LLMの膨大な計算量を要求すると、リソースの悪用や不正使用の被害に遭いやすくなります。

終わりに

2025年版の「OWASP Top 10 for LLM Applications」の前書きには、「過剰な能力付与」や「無制限のリソース消費」など、前のバージョンから内容が拡張されたリスクがあるほか、「システムプロンプトの漏洩」や「ベクトルおよび埋め込みの脆弱性」など、新たに追加されたリスクがあることを述べています。
前のバージョンから約1年でこれだけの更新があったことは、AIそのものも、AIに関連するセキュリティリスクも、目まぐるしく進化していることの表れでしょう。ぜひ、こまめな情報収集をおすすめします。

また前書きには、このリスクのリストは、より安全なAIアプリケーションを構築することに全力を注ぐ、世界中のディベロッパー、データサイエンティスト、セキュリティの専門家の貢献により作成されたとも書かれています。トレンドマイクロはその一員として、引き続きAIセキュリティの研究開発を進め、安全にAIを利用できる環境の実現に貢献したいと考えています。

＜関連記事＞
・OWASPが提示するAIリスクのTop 10を読み解く
・MITRE ATLASとは何か？：概要編
・AIの発展とその影響：2024年の世界の動向まとめ
・RAGとは？ChatGPTなどの生成AIの性能を向上する仕組み