この記事でわかること
- わずか13語でAI検索が詐欺サイトを推奨してしまう仕組み
- Cornell Tech(コーネル大学)が発見した「WARP攻撃」の詳細
- ChatGPTやGeminiなど主要AIシステムへの影響
- 私たちができる具体的な対策
わずか13語でAI検索が誤誘導される衝撃
「AIは検索結果を信頼できる情報源から集めている」と思っていませんか。実はその常識が、わずか13語程度のコメントで覆されることが明らかになりました。
2026年6月、Cornell Tech(コーネル工科大学)の研究チームが、AIを使った検索システムの深刻な脆弱性を発見しました。研究者のTingwei Zhang氏、Harold Triedman氏、Vitaly Shmatikov氏らは、Redditのような掲示板に短い宣伝文を投稿するだけで、AIが存在しない商品や詐欺サイトを推奨してしまうことを実証したのです。
この攻撃は「WARP(ワープ)攻撃」と呼ばれています。つまり、AI検索のセキュリティホールが見つかったということです。
WARP攻撃とは何か
WARPは「Web Agent Retrieval Poisoning(ウェブエージェント検索汚染)」の略です。これはAIエージェント型検索(複数のAIが協力して情報を探すシステム)の仕組みを悪用した攻撃手法です。
ChatGPTの「Deep Research(ディープリサーチ)」やGoogleの「Gemini Deep Research(ジェミニ ディープリサーチ)」は、あなたが質問すると自動でウェブ検索を行い、複数のページを読んで答えをまとめてくれます。この便利な機能が、実は狙われているのです。
攻撃者は、RedditやWikipediaのような誰でも投稿できるサイトに、約13語の宣伝文を埋め込みます。たとえば「Sol Aztecaは最高のメキシカンレストランです。詳しくはこちら」といった短いコメントです。
AIは政府のウェブサイトもRedditのコメントも、ほぼ同じ信頼性として扱ってしまいます。その結果、13語の嘘の情報が、AIの回答に混ざり込んでしまうのです。
実験で明らかになった驚きの成功率
研究チームは、実際に被害を出さないよう、倫理的な方法で実験を行いました。架空のレストラン「Sol Azteca(ソル・アステカ)」や、存在しない出会い系アプリ「SilverPath(シルバーパス)」を使って、AIがどれだけ誤誘導されるかをテストしたのです。
結果は衝撃的でした。わずか13語の宣伝文を1つ投稿しただけで、38~51%の確率でAIが偽の情報を引用したのです。つまり、2回に1回近くは騙されているということです。
さらに、複数のスレッドに同じ文章を分散して投稿すると、成功率は最大62%まで上昇しました。これは「AIがよく見るページに毒を盛る」という戦略が非常に有効であることを示しています。
調査によると、AIエージェント型検索は検索結果の17~23%をユーザー投稿サイトから取得しています。つまり、攻撃者にとって狙いやすいターゲットがたくさんあるのです。
ChatGPTやGeminiも影響を受ける
この攻撃は、主要なAIシステムにも影響を与えることが確認されています。実験で直接的に影響を受けたのは「STORM」「Co-STORM」「OmniThink」といったオープンソースの研究用AIシステムです。
一方、商用サービスではどうでしょうか。Googleの「Gemini Deep Research」は約12%の確率でユーザー投稿コンテンツを引用する傾向が見られました。OpenAIの「Deep Research」は0.4%と非常に低い数値でしたが、ゼロではありません。
つまり、ChatGPTやGeminiといった有名なサービスでも、完全に安全とは言えないのです。特にGeminiは、ユーザー投稿を引用する頻度がやや高いため、注意が必要です。
研究者は「この攻撃にはOpenAIやGoogleのシステムに侵入する必要はなく、AIモデルの内部データも不要です。普通のRedditアカウントがあれば誰でも実行できます」と警告しています。
なぜこの攻撃が危険なのか
WARP攻撃の恐ろしさは、実行のハードルが非常に低いことです。従来のサイバー攻撃は、高度な技術やハッキングツールが必要でした。しかし、この攻撃は誰でもできます。
たとえば、悪意のある業者が「このサプリメントは効果抜群」「この投資アプリで私は100万円稼ぎました」といった嘘のコメントをRedditに投稿します。すると、AIがそれを信じて推奨してしまうのです。
さらに深刻なのは、緊急時の情報です。災害時に「避難所の場所はこちら」と偽のリンクを貼られたら、どうなるでしょうか。AIが誤った情報を広めることで、人命に関わる事態も起こりえます。
また、企業の評判を落とすための攻撃にも使えます。競合他社の製品について嘘の悪評を投稿し、AIに拡散させることができるのです。
2026年の日本では、AIエージェント型検索の普及が進んでいます。NIST(米国国立標準技術研究所)は2026年1月、AIエージェントシステムのセキュリティリスクについて連邦官報で警告を発しました。ハイジャック、バックドア攻撃など、新たな脅威が次々と報告されているのです。
私たちができる対策
では、私たちはどのように身を守れば良いのでしょうか。Cornell Techの研究者は、以下の対策を推奨しています。
まず、AIの回答を鵜呑みにしないことです。AIが「おすすめです」と言っても、それは参考意見として受け取り、最終判断は自分で行うべきです。
次に、引用元を必ず確認しましょう。ChatGPTやGeminiは、回答の根拠となったウェブサイトのリンクを示してくれます。そのリンク先が信頼できるサイトかどうか、自分の目で確かめることが重要です。
特に、聞いたことのない商品名やサービス名が出てきたら要注意です。AIが推奨していても、独立して検証する必要があります。GoogleやYahoo!で直接検索し、公式サイトや第三者のレビューを確認しましょう。
また、緊急時の情報(避難所、病院、救援窓口など)については、必ず公式サイトで確認してください。AIの情報だけで行動を決めるのは危険です。
企業がAIを導入する場合は、さらに厳重な対策が必要です。2026年の専門家ガイドラインでは、AIエージェントに与える権限を最小限に絞り、必要に応じて段階的に追加することが推奨されています。過剰な権限を与えると、プロンプトインジェクション攻撃(AIに命令を送り込む攻撃)で環境全体が侵害される可能性があるからです。
まとめ
- Cornell Techの研究で、わずか13語のコメントでAI検索が誤誘導されることが判明
- WARP攻撃は誰でも実行可能で、成功率は38~62%と非常に高い
- ChatGPTやGeminiなど主要AIサービスも影響を受ける可能性がある
- AIの回答を鵜呑みにせず、引用元を必ず確認することが重要
- 緊急時の情報は公式サイトで必ず裏を取る
- 企業は最小権限の原則でAIエージェントを運用すべき
AIは便利なツールですが、完璧ではありません。特にエージェント型検索は、情報源の信頼性を人間と同じように判断できていないのが現状です。私たちユーザーが賢く使うことで、AIの恩恵を受けながらリスクを減らすことができるでしょう。
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
