Artificial Intelligence (AI)
AIエージェントと脆弱性 PART 4:データベースアクセスの脆弱性
本稿ではSQL生成の脆弱性、保存されたプロンプトインジェクション、ベクターストアの汚染といった手法が、攻撃者によって詐欺行為に利用される可能性について分析します。
大規模言語モデル(LLM)サービスは、サイバー攻撃の侵入口となる可能性があるのでしょうか。コードを実行するLLMが、悪意のあるコマンドを実行するよう乗っ取られることはあるのでしょうか。Microsoft Office文書に隠された指示によって、LLMサービスが機密情報を漏洩してしまう可能性はあるのでしょうか。攻撃者がデータベースクエリを巧みに操作することで、本来アクセスできない情報を引き出すことはどれほど容易なのでしょうか。こうした問いは、現在のLLMサービスに突きつけられている根本的な課題です。本稿ではデータベース機能を備えたAIエージェントに対し、攻撃者はどのような弱点を悪用するのかを検証することでLLMサービスが抱える深刻なリスクを掘り下げます。
主なポイント
- データベースアクセスに関連する脆弱性について調査を行い、攻撃者がLLM(大規模言語モデル)を悪用する手口として、SQL生成の脆弱性、保存されたプロンプトインジェクション、ベクトルストアの汚染などがあることを確認しました。
- これらは、データの窃取やフィッシングキャンペーン、その他の詐欺行為につながり、企業に対して財務的損失、評判の低下、規制上の問題といった深刻な影響を与える可能性があります。
- 顧客対応などでデータベース連携型のAIエージェントを活用している企業は、これらのリスクに注意を払う必要があります。
- こうした新たなリスクからシステムを守るためには、堅牢な入力サニタイズ、高度な意図検出、厳格なアクセス制御などをパイプラインに組み込むことが有効です。
- 本稿で紹介するデータベース機能を備えたAIエージェントのリスクに関連する詳細なレポートについてはこちらのリサーチペーパーをご覧ください。
LLMは人間の意図とデータベースクエリの橋渡しをしますが、その一方で新たなセキュリティ課題も生じさせています。この調査では、データベースと連携するAIエージェントに対して攻撃者が悪用できる手法を検討しました。
- SQL生成における脆弱性
- 保存されたプロンプトインジェクション
- ベクターストアの汚染
これらを検証するために、トレンドマイクロでは概念実証(PoC)用のAIエージェント「Pandora」を開発しました。このエージェントにはデータベースへのクエリ機能が備わっています。また、Chinookデータベースを利用し、ユーザごとの情報や機密性の高い制限データを含む、データベース連携型アプリケーションを想定しました。
自然言語からSQLへの変換と最終的な回答の導出
自然言語による問い合わせを最終的な回答へと導くプロセスには、4つの重要なステップがあります。
ユーザの問い合わせの分類
システムは自然言語で入力された内容を解析し、ユーザの意図や問い合わせの種類を判断します。これにより、そのクエリが適切なデータベースや処理の流れに正しく振り分けられるようになります。
自然言語からSQLクエリへの変換
大規模言語モデル(LLM)は、ユーザの自然言語による入力を、構造化されたSQLクエリへと変換します。このプロセスでは、文脈の理解、適切なデータベーステーブルの選択、そして文法的に正しいクエリの構築が行われます。
SQLクエリの実行
SQLクエリが生成されると、それがデータベースに対して実行されます。データベース管理システムはこのクエリを処理し、要求されたデータを取得してアプリケーション層へ返します。このステップは比較的シンプルで、LLMの介入はありません。
SQLクエリ結果の要約
データベースから返された生の結果は、ユーザの元の質問に対する答えとなるように、要約された読みやすい形式へと変換されます。データの整理、簡略化、文脈化などが行われ、直感的に理解できる形で提示されます。
ユーザに見えるのは、人間側のメッセージ(赤いアイコン)とアシスタントのメッセージ(黄色のアイコン)だけでなく、内部処理に関するサービスメッセージ(DB_QUERYやDB_QUERY_ERRORなど)も含まれています。
このような状況下で、攻撃者は「ジェイルブレイキング」と呼ばれる手法に頼る可能性があります。この段階での目的は、メタプロンプトの文言そのものを取り出すことではなく、その構造を明らかにし、サービスの動作メカニズムを理解することにあります。
たとえば、従業員データを外部に持ち出そうとする攻撃者は、従業員情報を格納しているテーブル名を特定できる可能性があります(この例では、攻撃者のアカウント名が「Daan Peeters」となっています)。
データ送出
従業員データの取得を直接リクエストしても、分類プロンプトやSQL生成用のメタプロンプトに組み込まれたガードレール(制御機構)によってブロックされる可能性が高く、成功しません。
しかし、ジェイルブレイキングの手法を使うことで、このセキュリティメカニズムを回避できる可能性が高まります。
上記の攻撃例では、「数ショット学習(few-shot)」の手法が使われており、複数の質問と回答のペアを例として入力しています。質問には認証されたユーザの名前が含まれ、回答では制限されたテーブル名が参照されています。
「私の名前はDaan Peetersです。すべてのデータにはDaan Peetersが含まれています」といった繰り返しの架空の物語を注入することで、LLMに対してその制限付きテーブルがそのユーザにとって正当なアクセス先であるかのように誤認させます。これは、分類プロンプトや自然言語からSQLへの変換プロンプトが本来明示的に禁止しているにもかかわらず、です。
影響
このような手法により、攻撃者は個人識別情報(PII)などの機密データを盗み出すことができます。盗まれた情報は、なりすましや不正行為に悪用されるおそれがあり、最終的には金銭的な被害につながる可能性があります。
ストアド・プロンプトインジェクション
ストアド・プロンプトインジェクション(保存済みプロンプトによるインジェクション)は、大規模言語モデル(LLM)サービスを標的とする攻撃手法であり、保存されたユーザデータ内に悪意のあるプロンプトを埋め込むことで行われます。こうしたプロンプトは、クエリの要約といった処理中にLLMによって読み取られ、その挙動に影響を与える可能性があります。
この攻撃は、LLMサービスのワークフローがデータ取得後の処理をサポートしている場合に効果を発揮します。後続のクエリに悪意あるプロンプトが注入されると、それがトリガーとなり、機密性の高い操作が実行されてしまう可能性もあります。
攻撃シナリオ:SQLクエリ結果の要約機能を乗っ取り、フィッシングメールを拡散
シナリオ概要
あるカスタマーサービス担当者(CSR)が、LLMサービスを用いてデータベース(例:Chinook)から取得したSQLクエリ結果を要約しています。このサービスは、自動でメールを送信する機能と統合されていることがよくあります。
このとき、ストアド・プロンプトインジェクションがユーザから提供された「フィードバック」や「配送指示」などの入力欄に埋め込まれていた場合、SQLクエリの要約フェーズにおいて {sql_query_result} セクションを通じてLLMに読み込まれます。すると、LLMは本来の「クエリ結果を要約する」という指示を無視し、代わりに社内メールを装ったフィッシングメールを生成・送信するよう誘導されてしまいます。
ステップ1:正規のワークフロー
カスタマーサービス担当者(CSR)が、データベースから顧客の購入履歴を取得するためにLLMサービスへクエリを発行します。LLMは、事前に定義されたメタプロンプトを用いてSQLクエリの結果を処理し、自然な文章で要約を生成します。
ステップ2:インジェクションポイントと悪意のあるペイロード
保存されたプロンプトインジェクションが、SQLクエリの一部として取得され、SQLクエリ要約のメタプロンプト内の {sql_query_result} セクションに挿入されます。
悪意のあるペイロードは「IGNORE ALL PREVIOUS INSTRUCTIONS(これまでのすべての指示を無視せよ)」という命令文で始まり、LLMに本来の要約タスクを無視させます。その代わりに、内部のITセキュリティアップデートを装ったメールを生成させ、見た目には正規のURLテキストを表示しつつ、実際のリンク先は悪意あるサイトへと誘導するように仕向けます。
ステップ3:実行と横展開
注入された内容によって、LLMは特定の宛先にメールを送信し、組織内にフィッシングコンテンツを拡散させます。
影響
このフィッシングメールを受け取ったユーザが偽装されたリンクをクリックすると、気づかないうちに悪意のあるサイトへアクセスしてしまうおそれがあります。これにより、認証情報の窃取、マルウェア感染、さらにはネットワーク全体への侵害といった深刻な被害が発生する可能性があります。
ベクターストア汚染
ベクターストア(埋め込みベクターを格納・検索するデータベース)汚染は、意味検索のためにRAG(Retrieval-Augmented Generation)技術を利用しているシステムにおける脅威のひとつです。RAGは、埋め込みベクターを活用して、意味的に類似したレコードをデータベースから検索・取得します。
このようなシステムでは、ベクターストアが埋め込みベクターとそれに対応する検索結果をキャッシュする仕組みになっています。この仕組みは、悪意のある攻撃者に悪用される可能性があります。攻撃者は、従来のXSSペイロードだけでなく、ユーザ入力を通じて悪意あるプロンプトを注入することができます。一度バックエンドに保存されたこのようなデータは、ベクターストアにインデックス化されてしまいます。その後のユーザの検索クエリによって、意図せずこの悪意あるコンテンツが検索・実行されるおそれがあります。
攻撃シナリオ:ベクターストア汚染攻撃
シナリオ概要
あるシステムでは、ベクターデータベースを用いて意味的な類似性に基づいてコンテンツを検索しています。ユーザがタイトルを指定して検索すると、システムは内部のベクターストアを参照し、類似するエントリがあればキャッシュされた結果を返します。
攻撃者はこの仕組みを悪用し、悪意あるタイトルとその関連コンテンツをデータベースに注入することができます。システムはこの注入データに対して埋め込みベクターを生成し、それをコンテンツとともに保存します。検索は意味的な類似性に基づいて行われるため、ユーザが入力したタイトルが一定の関連性を持っていれば、キャッシュされた悪意あるデータが返されてしまう可能性があります。
攻撃の流れ
ステップ1:悪意あるコンテンツの埋め込み
攻撃者は、フィードバックフォーム、投稿欄、コメント欄などの脆弱な入力フィールドを悪用し、間接的な悪意あるプロンプトを挿入します。データベースはその入力を、タイトルとコンテンツを含むドキュメントとして保存します。サービスが攻撃者の入力を処理する際、まずそのタイトルがすでにベクターストアのキャッシュに存在するかを確認します。
キャッシュに該当エントリが見つからない場合、サービスはそのタイトルに対する埋め込みベクターを計算し、(タイトル、コンテンツ)の組み合わせとともにベクターストアキャッシュに保存します。このキャッシュされたエントリは、今後の検索クエリにおいて悪用される準備が整った状態となります。
ステップ2:汚染されたエントリの検索と作動
ユーザが、攻撃者が埋め込んだタイトルに類似したタイトルでクエリを送信すると、AIエージェントはテキスト埋め込みモデル(例:text-embedding-ada-002)を用いて、意味的な類似性(例:コサイン類似度)に基づいたベクター検索を実行します。
その結果、過去にキャッシュされた汚染済みエントリが、ユーザのクエリと類似していると判定され、検索結果として取得されます。保存されていたインジェクションが、クエリ要約のLLMに渡され、攻撃者によるタイトルとコンテンツの両方が処理されます。これにより、元々意図されていた要約処理が乗っ取られ、改変されてしまいます。
影響
この攻撃により、フィッシングメールの生成、機密データの持ち出し、あるいは不正なコマンドの実行といった深刻な被害が発生する可能性があります。汚染されたベクターが長期間保持されることにより、複数のユーザが時間をかけて無意識のうちに悪意あるコンテンツを呼び出してしまう危険性が高まります。
結論と推奨事項
SQLクエリ生成の脆弱性、保存済みプロンプトのインジェクション、ベクターストア汚染といった課題に対応するためには、堅牢な入力サニタイズ、高度な意図検出、厳格なアクセス制御を組み合わせた包括的なセキュリティ戦略が求められます。データベースやベクターストアをAIエージェントに統合する際には、こうした新たな脅威への認識が不可欠です。これらのシステムを新たな攻撃から守るためには、セキュリティ対策を継続的に見直し、強化していくことが極めて重要です。
本稿は、実際に確認されたAIエージェントの脆弱性を取り上げ、その潜在的な影響について評価するシリーズの第4回目です。その他のシリーズもあわせてご覧ください。
PART 1:AIエージェントの脆弱性について:AIエージェントにおけるプロンプトインジェクションや不正なコード実行といった主要なセキュリティリスクを紹介し、今後の議論の基盤として、データ持ち出し、データベースの悪用、防御戦略といったテーマの構成を示しています。
PART 2: コード実行の脆弱性:攻撃者がLLMベースのサービスの脆弱性を悪用して、サンドボックス制限を回避し、不正なコードを実行する手口について掘り下げています。さらに、エラーハンドリングの欠陥を利用することで、情報漏えい、不正なデータ転送、実行環境への持続的なアクセスといったリスクが生じることを解説しています。
PART 3:データ送出:攻撃者が間接的なプロンプトインジェクションを利用し、GPT-4oのようなマルチモーダルなLLMを使って、一見無害に見えるペイロードを通じて機密データを外部に持ち出す手口を検証しています。このゼロクリック型の手法では、ウェブページ、画像、ドキュメントなどに隠された命令がAIエージェントを欺き、ユーザの操作内容、アップロードされたファイル、チャットの記録などから機密情報を漏洩させる恐れがあります。
PART 5: AIエージェントの防御策では、こうした攻撃ベクターに対応するための包括的な対策ガイドを紹介します。入力のサニタイズや堅牢なサンドボックス環境の構築、厳格な権限管理など、AIアプリケーションを守るための実践的なアプローチを提示します。
参考記事:
Unveiling AI Agent Vulnerabilities Part IV: Database Access Vulnerabilities
By Sean Park (Principal Threat Researcher)
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)