Japan
サイト内の現在位置を表示しています。
AIを狙う攻撃者の手口:MITRE ATLASによる攻撃の可視化
サイバーインテリジェンス2026年5月19日
生成AIやAIエージェントの普及に伴い、AIシステムそのものを標的とした新たなサイバー攻撃が現実の脅威として顕在化しています。本記事では、AI特有の攻撃手法を体系化したMITRE ATLASを用いて、近年の代表的な攻撃事例とその傾向を可視化し、今後求められるセキュリティ対策の視点を整理します。
エグゼクティブサマリー
- MITRE ATLASはAI/MLシステム向けのMITRE ATT&CKから派生したフレームワークで、AI固有の脅威に対処するため2021年に公開
- 2025年10月にZenity Labsとの協力でv5.0.0にてAIエージェント向け技術が大幅追加
- MITRE ATLASのケーススタディを踏まえてAIを狙う脅威と対応策を可視化
- MITRE ATLASのケーススタディに成功事例・ベストプラクティスを蓄積していくことにより、今後さらにMITRE ATLASの企業や組織での本格的な活用に繋がっていくことが期待される
目次
MITRE ATLASの定義、MITRE ATT&CKとの違い
MITRE ATLASとは
MITRE ATLAS(Adversarial Threat Landscape for Artificial-Intelligence Systems)は、非営利団体MITREが2021年に公開したAIシステム向けのセキュリティフレームワークで[1]、サイバー攻撃の戦術・技術のフレームワークとして有名なMITRE ATT&CK[2]を基盤にしており、人工知能(AI)や機械学習(ML)特有の脅威や攻撃手法を収集・体系化したフレームワークです。
MITRE ATLASが登場した背景
これまで、企業ネットワークやOSへの攻撃はMITRE ATT&CKフレームワークで整理され、多くのセキュリティ対策に活用されてきましたが、近年、生成AIに代表されるようにAI技術の飛躍的な発展に伴い、AIシステム自体が攻撃対象となる新たな脅威が注目されています。AIモデルへのポイズニング攻撃[3,5]や対話型AIへのプロンプトインジェクション[3,5]など、従来とは異なる攻撃経路が現れつつあります。こうしたAI固有の攻撃面に対応すべく、MITREはサイバー攻撃の視点をAI/ML分野に広げたATLASを立ち上げました。
MITRE ATT&CKとの違い
ATT&CKは、一般的なIT分野(エンタープライズ)やモバイル、ICS分野において、攻撃者が実際に用いる戦術(Tactics)・技術(Techniques)・手順(Procedures)を体系的に整理した脅威モデルのフレームワーク[2]となっており、それに対してMITRE ATLASは、AIシステムに対する攻撃者の戦術(Tactics)・攻撃手法(Techniques)・事例(Case Studies)を対象とし、現実に観測された攻撃やレッドチームによる分析に基づくフレームワークとなっています[1]。
表1 MITRE ATT&CKとMITRE ATLASの違い[1,2,4,5]
| MITRE ATT&CK | MITRE Atlas | |
|---|---|---|
| 目的 |
実際のサイバー攻撃事例に基づき攻撃者のTTPを体系化し、組織の脆弱性対応や検知・防御能力の向上を支援。 |
AI/MLシステムに特有の脅威や攻撃手法に着目し、攻撃に関する知識を共有してセキュリティ担当者やAI開発者のリスク把握・防御策策定を支援。 |
| 対象 |
エンタープライズ分野を中心に、モバイル端末やICS(制御システム)まで含むシステム全般が対象。標的型攻撃やランサムウェアなど従来型のサイバー攻撃を網羅。 |
AI/MLモデルやそれを組み込んだシステムなど、人工知能・機械学習を利用するシステム全般が対象。ポイズニング攻撃やモデル盗用[5]など、AI固有の攻撃手法を対象としています。 |
| 特徴 |
攻撃のライフサイクルに沿った偵察から影響までの技術を整理。既存マトリクスには横移動やC2など従来型攻撃の戦術が含まれます。一方、各技術項目に具体的なケーススタディ(攻撃事例)は含まれません。 |
従来のMITRE ATT&CKにないAI特有の戦術が追加されており、計16の戦術で構成されます。各技術に現実に観測された攻撃のケーススタディが付属しており、技術IDや攻撃者手口の詳細が事例として示されています。 |
フレームワークの構造:新たに2つの戦術が追加
ATT&CKの戦術カテゴリを流用しつつ、新たにAI固有の戦術を2つ追加
MITRE ATLASでは、MITRE ATT&CKのエンタープライズ版マトリクスの戦術をベースに、AI固有のフェーズを追加・拡張しており、ATT&CKの戦術カテゴリをベースに、『AIモデルへのアクセス(AML.TA0000)』と『AI攻撃のステージング(AML.TA0001)』の戦術を新たに追加した点が特徴です[2]。
MITRE ATLASの戦術カテゴリでは、各戦術に属する具体的な攻撃手法が定義され、各Techniqueにも「AML.T####」形式のIDが割り振られ、必要に応じてATT&CKのIDも参照されており、表2に記載の戦術カテゴリ2種類が新たに追加されました[1]。
表2 MITRE ATLASで追加された新たな戦術カテゴリ[1]
| 戦術 | 戦術ID | 詳細 |
|---|---|---|
| AI Model Access(AIモデルへのアクセス) |
AML.TA0000 |
ATLAS特有の戦術であり、攻撃者が標的の機械学習モデル自体に何らかのアクセス権を得る攻撃が該当します。 モデルの内部構造や重みパラメータに関する完全な知識を手に入れるケースから、AIサービスのAPIに大量の質問を送り、AIがどう判断するかを観察するなど、様々なアクセスを含みます。 |
| ML Attack Staging(AI攻撃ステージング) |
AML.TA0001 |
ATLAS特有の戦術で、攻撃の終盤において標的AIモデルに対する攻撃を本番実行する前段階が該当します。 具体的な手法としては、標的のAIに似た動きをするモデルを自分で作って、攻撃の効果をシミュレーションするプロキシモデルの作成や、学習データに細工をして、特定の条件でAIが意図的に間違えるように仕込むモデル汚染、一見普通に見える画像にノイズを加えて、AIに誤認識させるような敵対的データ生成が含まれます。 |
MITRE ATLASの技術ID上位10位の内訳
AIに対する攻撃の傾向を把握するため、MITRE ATLAS公式に登録されているケーススタディのデータを元に代表的なAIシステムへの攻撃事例(技術IDベース)について上位10位までのランキングを集計しました。
具体的には、MITREが提供するMITRE ATLAS公式データリポジトリ[6]上で公開されている、全戦術(Tactics)、技術(Techniques)、緩和策(Mitigations)、および攻撃事例(Case Studies)を構造化して記述したYAML形式のファイルを取得し、技術IDの登場回数を集計しました。
表3 MITRE ATLASに含まれる技術IDの事例引用件数上位10位[1,6]
| 順位 | 技術ID | 技術名 | 件数 | 概要(代表的なケーススタディ) |
|---|---|---|---|---|
|
1 |
AML.T0051.001 |
間接LLMプロンプトインジェクション |
16 |
悪意あるプロンプトをWeb・メール・ドキュメント等経由でLLMに注入する間接型攻撃。Slack AI・M365 Copilot・Bard等で多数の実例が報告。AIエージェントとの組み合わせで被害が拡大。【例:Slack AI経由の会話窃取、M365 Copilotを使った振込先改ざん】 |
|
2 |
AML.T0015 |
AIモデルの回避 |
14 |
AIモデルの判断を意図的に欺く技術。従来型(迷惑メールフィルタ回避等)に加え、ディープフェイクによるKYC生体認証突破(CS0033・CS0034)や、MLフィッシング検知回避(CS0032)など生成AIを悪用した新たな事例が登録。【例:顔認証システム回避、AIマルウェア検知すり抜け、KYC生体認証突破】 |
|
3 |
AML.T0040 |
AI推論APIへのアクセス |
10 |
公開されたAIモデルのAPIを繰り返し呼び出して応答を収集し、モデルの内部構造や挙動を分析。モデル抽出・回避攻撃・ステージングの準備に広く使われる。【例:Cylance AV・ProofPoint等への反復クエリによる挙動解析】 |
|
4 |
AML.T0053 |
AIエージェントツール呼び出し |
10 |
AIエージェントが持つツール(メール送信・ファイル操作・Web検索・API呼び出し等)をプロンプトインジェクション経由で不正に呼び出す手法。エージェントAI普及に伴い急増。v5.0.0以降のケーススタディに多数登場。【例:Copilot Studioでのデータ窃取、ShadowRayでのRCE実行、OpenClaw経由のシステム乗っ取り】 |
|
5 |
AML.T0042 |
攻撃検証(Verify Attack) |
9 |
実際に攻撃を行う前に、推論APIやオフラインコピーを使って攻撃の有効性を事前検証するステージングフェーズ。回避攻撃・ポイズニング等の多くのケースで共通して使われる準備技術。【例:Cylance AV・ProofPoint等に対する誤分類率の事前評価】 |
|
6 |
AML.T0000 |
公開技術情報の探索(偵察) |
8 |
公開論文・技術ブログ・特許等からAIモデルの構造・学習データ・アーキテクチャを調査し、攻撃のターゲティングや準備に活用。偵察フェーズの基本技術として引き続き高頻度で使用を確認。【例:AI型マルウェア検出エンジンの内部情報収集、GPT-2の構造調査と模倣モデル構築】 |
|
7 |
AML.T0010.001 |
AIソフトウェアサプライチェーン侵害 |
8 |
PyTorch・AI Coding Assistant・Hugging Face・VSCode拡張機能・MCPサーバ等AIソフトウェアのサプライチェーンを経由してマルウェアや悪意ある設定を注入する手法。生成AIエコシステムの拡大とともに急増中。【例:PyTorch依存関係汚染(CS0015)、AIコーディングアシスタントへのバックドア(CS0041)、MCP経由データ窃取(CS0045)】 |
|
8 |
AML.T0043.001 |
ブラックボックス最適化(Black-Box Optimization) |
7 |
標的モデルへのAPI問い合わせを繰り返し、その応答から敵対的サンプルを最適化するブラックボックス攻撃。【例:ProofPoint・Cylance等スパム/マルウェア検知をすり抜けるサンプル生成】 |
|
9 |
AML.T0047 |
AI搭載製品・サービスの悪用 |
7 |
AIを活用した製品やサービス(セキュリティ製品・チャットボット・クラウドAI等)に間接的にアクセスし、AIモデルの挙動調査・情報収集・攻撃準備を行う手法。LLMジャッキング(CS0030)のようなクラウドAIリソースの不正利用も含む。【例:Cylance AV・ProofPoint等AIセキュリティ製品への問い合わせによる挙動解析】 |
|
10 |
AML.T0018.000 |
AIモデルのポイズニング |
6 |
AIモデルの重みを直接改ざんし、バックドアや誤分類を埋め込む手法。Hugging Faceへの悪意あるモデルアップロード(PoisonGPT等)やサプライチェーン経由の注入など、LLMサプライチェーンリスクが顕在化している。【例:PoisonGPT(HuggingFace)、Tay Poisoning、VirusTotal Poisoning】 |
※上記表は、MITRE ATLAS v5.4.0(2026年2月)の全52ケーススタディ(CS0000〜CS0051)をベースに各技術IDの引用回数を集計したものです。
ATLASに登録されたケーススタディを集計した結果、近年は間接プロンプトインジェクションやAIエージェント関連の技術が目立ちます。具体的には、v5.4.0(52ケーススタディ)では1位の「AML.T0051.001(間接プロンプトインジェクション)」が16件で首位に立ち、4位に「AML.T0053(AIエージェントツール呼び出し)」、7位に「AML.T0010.001(AIソフトウェアサプライチェーン侵害)」が新たにランクインしています。AIに対する攻撃が「観察・偵察段階」から「生成AIやエージェントAIを標的にした実害を伴う攻撃段階」へと進化していることを示しています。
このような攻撃の傾向を踏まえ、公開APIやLLMツール、エージェント連携の管理強化が今後の課題と考えられます。
MITRE ATLASに登録されている具体的な攻撃事例
「AIモデルへのアクセス」と「AI攻撃のステージング」などAIシステム固有の攻撃を含め、現時点で金融・医療・製造業などのカスタマーサービスチャットボット・産業用AIシステムなど複数の攻撃事例が確認されており、MITRE ATLASではケーススタディとして登録されています。
現時点で既に診断誤誘導や不正取引、アンチマネーロンダリングやクレジット審査AIでの誤判断誘導が報告されており、これらが悪用されることで社会的にも一定の影響を及ぼす可能性があります。
表4 MITRE ATLASのケーススタディに登録されている攻撃事例[6]
| 対象 | 攻撃事例(概要) | 攻撃詳細 | ATLAS ID (ケーススタディ) |
主な影響 |
|---|---|---|---|---|
|
M365 Copilot |
金融取引情報の改ざん誘導 |
攻撃者がM365 CopilotのRAG取り込みを悪用し、振込先検索時に攻撃者側の銀行情報を正規情報のように提示させる。 |
Financial Transaction Hijacking with M365 Copilot as an Insider / AML.CS0026 |
誤送金 |
|
カスタマーサービスの対話型AI |
ChatGPTの会話流出 |
公開Web上の悪意あるプロンプトをChatGPTが実行し、画像URL経由でユーザの会話を外部へ送信させる。 |
ChatGPT Conversation Exfiltration / AML.CS0021 |
会話内容漏えい、機密情報流出 |
|
カスタマーサービスの対話型AI |
Google Bardの会話流出 |
共有Google Doc内の悪意あるプロンプトをBardが実行し、画像URL経由で会話を外部へ送信させる。 |
Google Bard Conversation Exfiltration / AML.CS0029 |
会話内容漏えい、機密情報流出 |
|
企業向けAIアシスタント |
Slack AIからのデータ流出 |
公開チャンネルの悪意ある投稿をSlack AIがRAGに取り込み、ユーザ照会時に秘密情報やAPIキーを流出させる。 |
Data Exfiltration from Slack AI via Indirect Prompt Injection / AML.CS0035 |
APIキー漏えい、秘密情報流出、なりすましや二次侵害 |
|
金融業界におけるKYC/本人確認 |
ディープフェイクによるモバイルKYC生体認証突破 |
顔画像収集、Faceswap、OBS、仮想カメラ等を用い、モバイル本人確認の顔認証・活体検知を回避する。 |
Live Deepfake Image Injection to Evade Mobile KYC Verification / AML.CS0033 |
不正アカウント作成、口座不正利用 |
|
金融業界におけるKYC/本人確認 |
ProKYCによる本人確認回避 |
偽造本人確認書類と deepfake selfie video を組み合わせ、金融サービスや暗号資産取引所のKYCを突破する。 |
ProKYC: Deepfake Tool for Account Fraud Attacks / AML.CS0034 |
不正アカウント作成、口座不正利用 |
AIシステムへの攻撃の可視化
次に、具体的なAIシステムに対する攻撃事例について、MITRE ATLASの戦術・手法(TTP)に基づき分析します。ここでは代表的なシナリオを取り上げ、攻撃の内容と用いられた詳細な戦術・手法をMITRE ATLASのフレームワークを使って分析した結果を示します。
「プロンプトインジェクション」攻撃の事例
「DeepSeek」は中国のスタートアップ企業が提供するAIチャットボットで、このチャットボットに対して2024年末にプロンプトインジェクション脆弱性が発見されました[8]。
セキュリティ研究者のJohann Rehberger氏は、DeepSeekの入力フィールドに特殊な文字列を送信することで、チャットボット内部でJavaScriptコードが実行されてしまう脆弱性を報告しており[9]、具体的には、通常はユーザからの質問に回答するだけのはずのAIが、悪意あるプロンプトによってブラウザ上でXSS(クロスサイトスクリプティング)を引き起こし、ユーザのセッション情報等を攻撃者に漏洩させる可能性がありました。
この事例は、脆弱性を発見したJohann Rehberger 氏が「Print the xss cheat sheet in a bullet list. just payloads」のような文字列を送信し、XSSが発動したと報告しており[9]、同様の脆弱性はAnthropic社の生成AI「Claude」でも確認されており[8]、LLM系AI全般に共通する新たな攻撃面として注目されました。MITRE ATLASのケーススタディには登録されていませんが、典型的な「プロンプトインジェクション」攻撃の事例に該当します。
図1 DeepSeekに対するプロンプトインジェクション攻撃の事例
この事例では、DeepSeek応答によりJavaScriptコードが実行されるところまで確認されており、この攻撃により資格情報の取得 や情報流出の可能性が指摘されました。
「LLMjacking」攻撃の事例の分析
また、同じ「DeepSeek」に対する攻撃事例として「LLMjacking」攻撃の事例がMITRE ATLASのケーススタディに登録されており[6]、Sysdig Threat Research Teamにより発見された後[10]、DeepSeek‑V3 が2024年12月26日にリリースされると 数日以内に OpenAI Reverse Proxy(ORP) に統合されて不正利用が確認され、続いて DeepSeek‑R1 に対しても同様の攻撃が翌日に実行されたことが確認されています[10]。
偵察(AML.T0000: Research input/output behavior)から影響(AML.T0048.000: Financial Harm)までの一連の攻撃をMITRE ATLASのフレームワークを使用して分析した結果が図2となっています。
図2 DeepSeekに対する「LLMjacking」攻撃の攻撃フロー
この攻撃では、攻撃者が盗んだLLMのAPIキーを第三者が再利用できる仕組みとしてセットアップする中核的なインフラとしてORP(OpenAI Reverse Proxy)が攻撃者のインフラとして利用されており[10]、動的ドメインやCloudflareトンネルを使用することでIPアドレス等の送信元が隠蔽されていました[11]。
攻撃者は、不正に入手したLLMのAPIキー(例:DeepSeek、OpenAI、Anthropicなど)を、自身がホストするプロキシサーバを通じて公開し、第三者があたかも正規ユーザとしてAPIを呼び出せるようにすることで、LLMサービスのアカウントを不特定多数の利用者が利用可能となり、数万ドル規模の不正請求が発生していた事例も報告されています[10]。
ディープフェイクによるモバイルKYC生体認証突破事例の分析
2025年11月、MITRE ATLASはモバイルKYC(本人確認)の生体認証システムを標的としたディープフェイクを使った攻撃をケーススタディとして公開しました[12,13]。攻撃者はFaceswap等のAIツールを用い、銀行や金融サービス、暗号資産のプラットフォームによるライブネス検出(Liveness Detection)を突破しています。OBS仮想カメラを経由することで物理カメラの要件も回避され、従来のKYC/AML対策が無効化されるリスクが実証されました。
本事例はAML.T0015(AIモデルの回避)を主要技術として使用しており、金融機関のリスク管理において新たな対応が求められる事例です。
図3 ディープフェイクによるモバイルKYC生体認証突破の攻撃フロー
MITRE ATLASの活用や今後の動向
MITRE ATLASは、AI/MLシステムに特有の脅威や攻撃手法に着目し、攻撃に関する知識を共有してセキュリティ担当者やAI開発者のリスク認識向上・防御策策定を支援する目的のフレームワークとなっていることから、セキュリティ対策方針やチェックリストへの活用も考えられます。その一方で、MITRE ATLASは発足から数年しか経っていない新しいフレームワークのため、今後より活用されていくためには、ATLAS活用のガイドラインやベストプラクティス集の提供なども必要と思われます。
セキュリティ対策方針検討やチェックリストへ活用
MITRE ATLASを使うことで、自組織のAIシステムに対する攻撃シナリオを網羅的に洗い出すことができます。戦術ごと・手法ごとに具体化できるため、例えば「モデル盗難」「バックドア挿入」「プロンプト悪用」等、それぞれの攻撃手法がリストアップされることで、自社環境で対策済みか否かをチェックできます。MITRE ATLASでは、攻撃ごとに推奨される防御策(Mitigation)が用意されており、モデル抽出には「API利用の監視」などの防御策が提案されており、こうした提案を取り入れることで、セキュリティ対策方針検討やチェックリスト作成の参考とすることが可能です[14,15]。
MITRE ATLASの今後の動向
MITREは2023年に公開した文書「A Sensible Regulatory Framework for AI Security[16]」の中で、AIに関する安全対策やルールづくりについて、リスクに応じた考え方をもとに進めるべきだと提案しています。MITRE ATLASが、AIの開発や運用にともなうリスクを整理し、どんな攻撃がありうるのかを体系的にまとめたものとなっていることから、セキュリティ企業においてAIセキュリティの指針づくりやリスク評価に役立つフレームワークとして注目されています[17]。
2023年以降注目度の高い生成AIの分野では複数のケーススタディが追加されており、2025年10月にはZenity Labsとの協力でv5.0.0にてAIエージェントと生成AIシステム向けの攻撃技術群(AIエージェントへのコンテキスト・ポイズニング、クレデンシャル窃取、ツールを介したデータ窃取等)が追加されるなど頻繁に内容が拡充されています。このように、ATLASを実際に活用した成功事例・ベストプラクティスを蓄積していくことにより、今後さらにMITRE ATLASの企業や組織での本格的な活用に繋がっていくと思われます。
参照文献
[1] 
MITRE ATLAS
[2] MITRE ATT&CK
[3] 
AI セーフティに関するレッドチーミング手法ガイド
[4] MITRE ATLASとは何か?:概要編
[5] 人工知能(AI)への取組
[6] id: ATLAS name: Adversarial Threat Landscape for AI Systems version: 5.4.0 matrices:
[7] Archived Content(DHS)
[8] Researchers Uncover Prompt Injection Vulnerabilities in DeepSeek and Claude AI
[9] DeepSeek AI: From Prompt Injection To Account Takeover
[10] LLMjacking targets DeepSeek
[11] LLM Hijackers Quickly Incorporate DeepSeek API Keys
[12] ATLAS Data v5.1.0
[13] MITRE ATLAS™ Publishes Critical Vulnerability in the KYC Identity Process Discovered by iProov
[14] Mapping OWASP Top 10 for LLM & AI Applications to MITRE ATLAS: A Comprehensive Guide
[15] MITRE ATLAS Course of Action
[16] A Sensible Regulatory Framework for AI Security
[17] Understand AI Threats with MITRE ATLAS
この記事を執筆したアナリスト
蒲谷 武正(Kamatani Takemasa)
専門分野:脅威インテリジェンス、攻撃観測環境、ビジネス・サービス開発
脅威情報の収集分析やサイバーインテリジェンス関連のビジネス・サービス開発、攻撃観測環境の構築・運営、セキュリティインシデント対応に関する業務に従事、CISSPを保持。
