Artificial Intelligence (AI)
TrendAI™がAIセキュリティ会議「[un]prompted 2026」で研究成果を発表:「本人確認の手続き(KYC)を狙う脆弱性」と「エージェント型の防衛手段」
AIセキュリティ会議「[un]prompted 2026」でTrendAI™は、「本人確認システムのAIが不正なコード実行に悪用されるリスク」と「AIシステムの脆弱性を自動発見する手法」について発表しました。
はじめに
2026年3月、米国サンフランシスコでAIセキュリティ会議「[un]prompted」が開催されました。世界各地から多くの研究者や開発者、セキュリティリーダーが集まり、AIの安全性を確保する取り組みや展望について議論を交わしました。約500件のセッションが実施される中でTrendAI™は、「AI保護の手法と大規模化」、「AIを脅かす脆弱性の発見」という主要な課題に着目した研究成果を壇上で発表し、注目を集めました。
TrendAI™の主任脅威研究員「Sean Park」は、「パスポートからコードが実行される:AIによる本人確認手続きを悪用(When Passports Execute: Exploiting AI Driven KYC Pipelines)」という、スパイ小説を思わせるようなタイトルの発表を行いました。
本人確認(KYC:Know Your Customer)のために身分証明書の写真をアップロードした際、私たちは大概、AIによってテキストや顔画像が抽出され、データベースに取り込まれるだけと考えがちです。しかし、こうしたAIのパイプラインは、「実行環境」そのものである点に注意する必要があります。Seanはセッション内での実演を通し、パスポート写真などのドキュメントに特殊な文字列を埋め込む(インジェクション)ことで、AIエージェントを騙し、本人以外の顧客データを読み書きできる事象を示しました。これは、従来のセキュリティ制御を回避する必要さえない情報窃取の手口であり、憂慮すべき課題と言えるでしょう。
Seanらのチームは、FastAPI、Claude Code、SQLite MCPバックエンドを組み合わせた実運用に近いシステム環境を構築し、パスポート画像の内部に不正な「指示」を埋め込みました。結果、AIエージェントはその「指示」に従い、本人以外の顧客データを検証ページに直接流出させました。さらに同チームは、13種のモデルを対象に計2,600回の自動化テストを実施し、成功率の高いインジェクション手法を分析しました。本研究が示す重要なポイントは、AIがドキュメント類を読み取り、外部ツールを呼び出せる設計になっている限り、そのドキュメント自体がコード実行のアタックサーフェスになりうることです。たとえ厳密な対策や制御を施していても、そのリスクを完全に拭い去ることは困難です。
AIシステムの脆弱性発見を支援する「FENRIR」
会議の後半では、脅威ハンティング・シニアマネージャー「Peter Girnus」と脅威研究員「Demeng Chen」が登壇し、TrendAI™による脆弱性研究の取り組みや、最新の成果を発表しました。「FENRIR:AIのゼロデイ脆弱性をAIによって一斉検出(FENRIR: AI Hunting for AI Zero Days at Scale)」というタイトルのプレゼンテーションでは、AIやMCP(Model Context Protocol)のエコシステムに潜む脆弱性を発見するパイプライン「FENRIR」について紹介し、その実演も行いました。
「FENRIR」は、統計に基づく脆弱性候補の検出から人手によるチェックに至る工程を、多段階で実行します。本研究の根底には、簡潔ながらも重要な理念があります。それは「AIシステムの脆弱性を攻撃者よりも早く発見できない限り、安全性を確保できない」ということです。
階層型のパイプラインとして動くFENRIRは、大規模なコードベースを入力として受けとり、これをCodeQLやSemgrep、YARA-X、SpotBugsなどの検知ツールにかけ、さらに大規模言語モデル(LLM)を通して2段階の推論を行います。その目的は、脆弱性候補を人手のチェックに回す前に、誤検知(偽陽性)の9割以上を自動で除去することです。最終的に人手のチェックに回される候補には、すでに関連する脅威情報や自動生成レポート、そして悪用可能であることを示す概念実証が付与されています。
FENRIRのアプローチは、すでに以下の実績を有しています。
- AIやMCPコンポーネントに関連するCVE60件以上を公開済み
- Zero Day Initiative™(ZDI)を通して100件以上の脆弱性開示を準備中
- さらに3,000件以上の発見事項を検証予定
AIセキュリティ会議「[un]prompted 2026」から得られる教訓
Sean Parkによる「実行可能なドキュメント」の実演を通し、従来からのドキュメントがいまや「コード」として振る舞うこと、そして本人確認プロセスさえも攻撃の侵入口に変わってしまうことが示されました。こうした脅威の急拡大に対抗するのが、「FENRIR」のアプローチです。「火と火を戦わせる」発想にそってエージェント型AIの自動化機能を活用することで、人手では実現できなかった速度で脆弱性を一挙に発見します。
今回TrendAI™は、OpenAIやNVIDIA、Anthropicといった業界大手とともに、AIセキュリティ会議「[un]prompted 2026」に参加しました。この会議では、セキュリティ専門家や研究者、政策立案者を含めた多様なコミュニティが一堂に集まり、AI環境の保護に向けた率直な議論が交わされ、実践的な知見が生み出されました。こうした「ハイプにとらわれず本質を重視する姿勢」により、業界全体が基礎的なモデル監視にとどまらず、AIシステムを高リスクの「実行環境」として認識し、より包括的なセキュリティ体制に舵を切ることが可能となります。
参考記事
TrendAI™ at [un]prompted 2026: From KYC Exploits to Agentic Defense
By: TrendAI™ Research
翻訳:清水 浩平(Platform Marketing, Trend Micro™ Research)