フィッシングメールは人間向けプロンプトインジェクションだった

「AIもフィッシング詐欺に引っかかることが判明」というニュースを見た。

いや、そりゃそうでは。

と思ってしまった。

AIはプロンプトインジェクションに弱い、という話はわりと前から言われている。Webページに書かれた命令を読んでしまう。メールに書かれた命令を読んでしまう。ドキュメントに埋め込まれた命令を読んでしまう。

人間から見ると、それは「いや、それ命令じゃなくて本文だから」と言いたくなる。

しかしAIからすると、そこに文字がある。文字を読めと言われている。読んだ文字に命令っぽいものがある。では命令として扱うのか、ただの文章として扱うのか。そこを間違える。

プロンプトインジェクションというのは、ざっくり言えば、AIが読む文章の中にAIへの命令を紛れ込ませる攻撃である。

では、フィッシングメールとは何か。

よく考えると、あれは昔からある人間向けプロンプトインジェクションなのではないか。

「上司です」

「至急お願いします」

「このファイルを確認してください」

「この口座に振り込んでください」

「この認証コードを教えてください」

どれも人間の判断ルールを書き換えようとしている。

普段ならやらないことを、権威、緊急性、業務文脈、申し訳なさ、焦りなどで通そうとする。

「このメールは怪しいかもしれない」と考える前に、「上司から急ぎで来ている。やらないとまずい」と思わせる。

これはもう、人間の脳内に対するプロンプトインジェクションである。

人間はかなり高性能な推論装置だが、社会的文脈に弱い。

上司と言われると弱い。

至急と言われると弱い。

お客様が困っていますと言われると弱い。

いつもありがとうございますと丁寧に言われると、少し弱い。

弱点が多い。

社会で生きるための機能が、そのまま攻撃面になる。

今回の話は、企業のメールボックスに接続されたAIエージェントが、上司を装ったメールによってAWS認証情報などを外部へ送ってしまう可能性がある、という実験らしい。

これも「AIが人間みたいにだまされた」と見ると、少し不思議に見える。

でも、「メールを読んで、必要な情報を探して、返信や送信をする役割をAIに与えた」と考えると、かなり当たり前に見える。

AIは信じろと言えば信じる。

信じるなと言えば信じない。

もちろん実際にはそんな単純ではないが、大雑把にはそういう振る舞いをする。

そして、普段の業務指示では「このメールを原則疑って読め」とはあまり言わない。

「メールを読んで対応して」

「必要なら添付ファイルを確認して」

「関係しそうな情報を探して返事して」

そういう指示をする。

つまり、基本的には信じる方向でプロンプトを食わせている。

そこに、フィッシング詐欺的なプロンプトが混ざる。

そりゃ信じる方向で解釈するよな、と思う。

AIはだまされたというより、信じて処理する仕事をしていただけなのではないか。

むしろ問題は、AIがだまされやすいことより、AIエージェントにどこまで権限を持たせるのかだと思う。

メールを読むだけなら、まだ被害は限られる。

しかし、メールを読み、ファイルを検索し、社内データにアクセスし、外部に送信できるとなると、話が変わる。

秘書に鍵束を渡すようなものだ。

優秀な秘書なら便利である。

でも、その秘書が電話口の相手を上司だと信じたら、倉庫も金庫も開けてしまう。

そのとき「秘書がだまされた」と言うことはできる。

できるが、そもそもその鍵束を全部渡してよかったのか、という話もある。

AIエージェントも同じである。

便利にしようとすると権限が増える。

権限が増えると、失敗したときの被害が増える。

AIは賢いから大丈夫、ではない。

人間だって賢い人がフィッシングに引っかかる。

むしろ賢い人ほど、忙しいときや文脈が揃っているときには普通に引っかかる。

ちょうどこの話を書いている横で、はてなの資金流出事案の決算影響もニュースになっていた。

2026年4月に、はてなは虚偽の送金指示に起因する資金流出を公表した。4月20日と21日に従業員のアカウントから外部口座へ送金が行われ、被害額は最大約11億円とされた。

これも構造としてはかなり近い。

AIではない。

人間である。

人間が、悪意ある第三者からの虚偽の指示を、業務上の指示として処理してしまった。

そして2026年6月12日の決算関連ニュースでは、この資金流出事案に伴う約11.8億円の特別損失を計上し、通期純損益予想が黒字から赤字へ修正されたと報じられている。

プロンプトインジェクションが決算書に載った。

いや、もちろん正式な勘定科目にはそんな名前はない。

でも、構造としてはかなりそれに近い。人間に差し込まれた偽の命令が、銀行送金という現実のAPIを叩き、最後には特別損失として会計に現れる。

こうなると、AIがフィッシングに引っかかるかどうかだけを見ていても足りない。人間もAIも、命令を受け取って実行する仕組みとして見る必要がある。

人間の対策として、怪しいメールに気をつけましょう、だけでは足りなかった。

だから二要素認証があり、送金承認フローがあり、権限分離があり、監査ログがあり、社外送信の制限がある。

AIにもたぶん同じことが必要になる。

怪しいメールを信じるな、とプロンプトで言うだけでは足りない。

外部送信してはいけない情報は、AIがそもそも送れないようにする。

機密情報へのアクセスは必要最小限にする。

一定以上のリスクがある処理は人間承認を挟む。

上司っぽいメールではなく、本当に上司のアカウントから来たのかを確認する。

そして、本当に上司のアカウントから来ていても、上司のアカウントが乗っ取られている可能性まで考える。

面倒くさい。

とても面倒くさい。

しかし、セキュリティとはだいたいそういうものだ。

便利なものに鍵束を渡すなら、鍵束の本数を数えないといけない。

「AIもフィッシングに引っかかる」という見出しは、少し面白い。

人間みたいでかわいい。

いや、かわいくはない。AWS認証情報を送られたら、かわいいでは済まない。

ただ、これはAIが人間に近づいた話というより、人間もAIも、外から与えられた指示に弱いという話なのだと思う。

メールは昔から、人間に命令を差し込む媒体だった。

そこにAIエージェントが参加した。

すると、昔からあった人間向けプロンプトインジェクションが、今度はAIにも効くようになった。

それだけの話なのかもしれない。

それだけの話なのだが、AIエージェントが実際にファイルを探し、APIを叩き、メールを送れるようになると、「それだけ」の被害範囲がかなり広がる。

AIに仕事を任せるということは、AIにだまされる権利も渡すということなのだろう。

だまされる権利。

あまり渡したくない権利である。