企業のAIセキュリティリスク、モデル保護を上回る「ワークフロー脆弱性」の脅威

AIワークフローのセキュリティが企業導入における重大な脆弱性に浮上

AI搭載のコパイロットやアシスタントが日常業務に深く統合される中、セキュリティチームは依然として基盤となるモデルの保護に注力しているが、より差し迫った脅威を見落としている。最近のインシデントから、「ワークフローのセキュリティ」—AIツールを取り巻くプロセスや統合部分—がサイバー犯罪者の主要な攻撃経路となっていることが明らかになった。

悪意あるChrome拡張機能が90万人以上のユーザーをデータ流出の危機に晒す

この変化を如実に示す事例として、AI生産性ツールを装った2つの不正なChrome拡張機能が、ChatGPTやDeepSeekの会話から機密データを吸い上げていたことが発覚した。これらの拡張機能は90万人以上のユーザーを獲得し、ワークフローのセキュリティ管理の不備を突いてチャットログ、認証情報、企業の機密データを収集していた。この攻撃は、敵対者がモデル自体ではなく、人間とAIのインタラクション層を標的にする傾向が強まっていることを浮き彫りにしている。

技術的分析：ワークフローの脆弱性が従来の防御策を回避する仕組み

プロンプトインジェクションやデータポイズニングといったモデル中心の攻撃とは異なり、ワークフローの脆弱性は以下の手法を悪用する：

• ブラウザ拡張機能API：悪意ある拡張機能がユーザーとAIプラットフォーム間のリアルタイムデータフローを傍受するために権限を悪用。
• コンテキストに基づくアクセス制御の欠如：AIアシスタントがホストアプリケーション（メールクライアントやIDEなど）から広範な権限を継承し、横方向の移動を可能にする。
• シャドウ統合：従業員が導入した非公認のAIツールが企業のセキュリティポリシーを回避し、未検証のサードパーティリスクにワークフローを晒す。

Chrome拡張機能の事例は、**AIモデルのセキュリティフレームワーク（例：OWASP Top 10 for LLMs）**が以下のようなワークフロー層の脅威に対応できていない重大なギャップを示している：

• 侵害されたブラウザセッションを通じたセッションハイジャック。
• 正規のAPI呼び出しを装ったデータ流出。
• AIプラグインのエコシステムを狙ったサプライチェーン攻撃。

影響分析：なぜワークフローのセキュリティがモデル保護を上回るのか

セキュリティ専門家にとって、ワークフローのセキュリティへのシフトは以下の理由から緊急の対応を要する：

1. 被害規模：ワークフロー攻撃はAIツールの全ユーザーに影響を及ぼす一方、モデル攻撃は標的型の攻撃が多い。
2. データの機密性：AIアシスタントはコード、法律文書、財務報告などの高度な機密データを処理するため、格好の標的となる。
3. 検知の困難さ：ワークフローの脆弱性は正規のトラフィックに紛れ込み、従来の異常検知システムを回避する。

AIワークフローを保護するための推奨対策

これらのリスクを軽減するために、組織は以下の対策を講じるべきである：

• AI統合に対する細粒度のアクセス制御を実装し、最小権限の原則に基づいて権限を制限。
• 拡張機能のエコシステムを監視し、GoogleのExtension Developer Verificationなどのツールを活用して信頼できないAIプラグインをブロック。
• **リアルタイムのデータ損失防止（DLP）**を導入し、AI生成コンテンツからの機密データ流出を検査。
• ゼロトラストアーキテクチャをAIワークフローに採用し、すべてのインタラクションを潜在的な脅威とみなす。
• レッドチーム演習を実施し、セッションハイジャックやAPI悪用に対するワークフローの耐性をテスト。

今後の展望

AIの導入が加速する中、セキュリティチームはモデルの強化にとどまらず、視野を広げる必要がある。ブラウザ統合、APIゲートウェイ、ユーザーアクセス層にまたがるワークフローのセキュリティは、AIリスク管理における最も重要なフロンティアとなっている。Chrome拡張機能の侵害事例は警鐘を鳴らすものだ：AIセキュリティの最も弱い部分はモデルではなく、それを支えるワークフローなのだ。