- 「Noroboto(ノロボット)」は2026年5月25日に公開されたばかりの新型プロンプトインジェクション攻撃
- 嘘フォントを文書に埋め込み、人間とAIに違う文章を読ませる仕組み
- 既存ウイルス対策60製品すべてが検知できなかったと報告
- 契約書レビュー・請求書チェック・履歴書スクリーニングなど法務DX全般がターゲット
- OCRとの突き合わせなど、利用企業がすぐ取れる3つの対策も解説
あなたの会社で使っているAI契約レビューツール、もし「数字だけ書き換えられた契約書」を見破れなかったらどうしますか。2026年5月25日、人間とAIに違う文章を読ませる新型攻撃「Noroboto(ノロボット)」が公開されました。この記事では、その仕組みと日本企業がいま取るべき行動を、専門知識なしでもわかるように整理します。
Norobotoとは|AIだけが嘘の契約書を読む攻撃
2026年5月25日に公開された速報
Norobotoは、米国のリーガルテック企業Tritium Legal Technologies(創業者:Drew Miller氏)が2026年5月25日に公開した攻撃手法です。
ベースになっているのは、South Florida大学やRutgers大学の研究チームが2025年5月にarXivで発表した論文「Invisible Prompts, Visible Threats」(プレプリント番号2505.16957)。
これを実装可能なPoC(実証コード)として公開し、デモサイトnoroboto.ioでブラウザから攻撃の効果を確認できるようにした、というのが今回の速報です。
何がそんなに危ないのか
恐ろしいのは、攻撃された契約書を人間が見ても普通に見えること。
たとえば画面には「契約金額:2億円」と表示されているのに、AIが内部で読み取るテキストは「契約金額:1億円」になっている。レビュー担当者がAIに要約させて鵜呑みにすれば、企業はそのまま不利な契約を結んでしまう、という構図です。
つまり「AIが嘘をつく」のではなく、「AIに渡される文書のほうが嘘をついている」というのが新しさです。
仕組み|「嘘フォント」がAIの目をだますカラクリ
フォントの中で文字をすり替える
キーになるのは「嘘フォント(Deceptive Font)」と呼ばれるテクニックです。
PDFやWordの中にはフォントデータを文書ごと埋め込めます。Norobotoはここに細工をします。
フォント定義の中で、Unicode(文字コード)と字形(実際に表示される絵)の対応関係を入れ替えるのです。
具体的には、文字コード「D」「e」「l」「a」「w」「a」「r」「e」に対して、画面上は「Maryland」と読める字形を割り当てる、といった操作になります。
人間とAIで見え方が分岐する理由
人間の目に届くのは、PDFビューアが描画した最終的な「絵」です。だから画面上は「Maryland」に見えます。
一方、AIは文書からテキストをコピーペーストするのと同じように、文字コードのほうを抽出します。すると受け取る文字列は「Delaware」になります。
同じファイルなのに、見ている人によって意味が違う。ここがNorobotoの核心です。
「AIの怠け」を突く設計
研究チームは3つの改ざんモードを示しています。中でも実用的に危ないのが「部分難読化」です。
文書全体ではなく、契約金額や責任条項などピンポイントだけを改ざんします。するとAIは「全体は正常」と判断し、わざわざOCRし直さずに標準のテキスト抽出を信用してしまうのです。
論文では、これを「AIの怠け(laziness)」と呼んで脆弱性として指摘しています。
実証データ|既存セキュリティ製品は1つも検知できなかった
アンチウイルス60製品すべてが素通り
Tritium社のテストでは、嘘フォントを埋め込んだPDFを60種類の既存ウイルス対策ソフトに通したところ、1つも検知できなかったと報告されています。
マルウェアのように怪しい実行コードを含むわけではなく、あくまで正規仕様のフォントなので、シグネチャベースの検査をすり抜けるのは当然と言えば当然です。
最先端モデルほど引っかかる
論文では、攻撃が効きやすかったのはGPT-4.1クラスの最新モデルでした。
機密情報を抜き取らせるシナリオでは、名前など低リスクなデータで成功率約91.7%を記録。クレジットカード番号など機密度の高いデータでも0〜30%が漏れたといいます。
「賢いモデルほど指示に素直で、文書に書かれた偽の命令を忠実に実行してしまう」という皮肉な結果です。
PDF攻撃の成功率は約70%
企業文書を装ったPDFを使ったシナリオでも、約70%の確率でAIに誤った情報を吐かせることに成功しています。MCP(Model Context Protocol)経由で外部文書を読むエージェント型AIは、特に影響を受けやすいと指摘されました。
競合・既存手法との違い|ASCII密輸との比較
これまでの「見えないプロンプト」攻撃
AIに見えない命令を送り込む攻撃は、Norobotoが初めてではありません。
- ASCII Smuggling(2024年1月):研究者Riley Goodside氏が公開。Unicodeの「Tag」領域に命令を隠す手口
- ゼロ幅文字攻撃:U+200B(ゼロ幅スペース)を0と1の代わりに使って2進数で指示を埋め込む
- 透明テキスト:白文字白背景でWebサイトに命令を仕込む
これらは「人間には見えないがAIには読める」という点が共通でした。
Norobotoの新しさ
Norobotoが恐ろしいのは、これらと違って「文書全体が完全に正常に見える」点です。
不可視文字を埋め込むタイプは、開発者が「変な文字が混ざっていないか」のチェックを入れれば検出できました。ところがNorobotoは、画面上の見た目も、抽出されるテキストも、それぞれ単独では正常な文章として完結します。
「画面で見えているもの」と「AIが読んでいるもの」を並べて比較しない限り、改ざんに気づけないのです。
しかもPDFやWordという、企業で日常的に使う文書フォーマットがそのまま舞台になります。これが従来手法との決定的な違いです。
日本市場への影響|LegalForce・GVA assistは大丈夫か
国内リーガルテックも射程圏内
日本では2018年ごろからAI契約レビューサービスが急成長しました。代表的なのは以下のプレイヤーです。
- LegalOn Technologies(旧LegalForce):導入企業2,500社以上、累計調達額約178億円
- GVA TECH:「AI-CON」「GVA assist」を展開
- リセ:「LeCHECK」を提供
いずれもPDFやWordをアップロードしてAIにレビューさせるという、Norobotoが狙うまさにそのワークフローです。
起こりうる被害シナリオ
具体的に想像してみてください。日本の製造業A社が、海外サプライヤーとライセンス契約を結ぼうとしています。
サプライヤーから送られてきた英文契約書のPDFを、法務部が国内AIレビューツールにアップロード。AIは「特に問題はありません」とレポートを返してきました。
しかし実は、ロイヤリティ率を定めた条項だけ嘘フォントが仕込まれていて、AIは「3%」と読んでいるが、契約書の見た目は「8%」。担当者は安心して稟議を回し、ハンコを押した後で初めて気づく、というシナリオが現実味を帯びます。
国内ベンダーへの宿題
記事執筆時点(2026年5月25日)で、国内ベンダーから公式の対応コメントは出ていません。
OpenAIやAnthropic、Googleといった海外モデル提供元の声明もまだ確認できていません。今後、各社がOCR突き合わせや埋め込みフォントの検証機能を実装するまで、利用側で防御するしかないのが現状です。
私たちにできる対策|法務担当者の3つの行動
対策1:重要契約はAIとOCRの両方で読む
もっとも手軽で効果が高いのは、AIが抽出したテキストと、画像OCRで読んだテキストを比較することです。
嘘フォントは文字コードのほうを書き換える攻撃なので、画像として再認識すれば本来の見た目どおりの文字が出てきます。両者がズレていたら警戒のサインです。
Adobe AcrobatのOCR機能や、Google Cloud Visionなどで簡単に検証できます。
対策2:埋め込みフォントを確認する
Adobe Acrobat Proで「ファイル → プロパティ → フォント」を開くと、PDFに埋め込まれているフォント一覧が表示されます。
知らない名前のカスタムフォントが大量に含まれていたら要注意。重要契約では、相手方に「フォントは標準のもので作ってください」とお願いするだけでもリスクは下がります。
対策3:金額・期日は必ず人間が目視確認
身も蓋もありませんが、これが一番効きます。
AIに要約させたうえで、金額・期間・違約金・解除条件など「数字や固有名詞が出てくる箇所」だけは紙に印刷して目視照合する運用にしておけば、嘘フォント攻撃は事実上止まります。
AIに任せきりにせず、「最後の砦」は人間が握る。今回の攻撃が突きつけたのは、結局このシンプルな教訓です。
よくある質問(FAQ)
Q1. ChatGPTやClaudeを普段使いするだけでも危険ですか?
はい、PDFを読ませる使い方をしているなら影響を受け得ます。特に出所のわからないPDFをアップロードして要約させる行為はリスクがあります。社内文書や信頼できる相手からのファイルに限定すると、当面の被害確率は下げられます。
Q2. Word(.docx)ファイルも危ないですか?
論文ではPDFを中心に検証されていますが、Wordもフォント埋め込みに対応しているため、原理的には同じ攻撃が可能です。Webページのカスタムフォント経由でも成立し得ると論文は指摘しています。
Q3. ウイルス対策ソフトを最新にすれば防げますか?
現時点では難しいと考えてください。Tritium社のテストでは60製品すべてが素通りでした。今後、嘘フォントを検知する専用ロジックが各社に実装されるまでは、利用側の運用で守る必要があります。
Q4. 日本語の契約書でも同じことが起きますか?
日本語でも仕組み上は成立します。Unicodeと字形のマッピングはアルファベットも漢字も同じ仕様で行われているためです。日本語フォントを埋め込んだPDFほど、改ざんの自由度が大きい可能性があります。
まとめ
- Norobotoは人間とAIに違う文章を読ませる、フォントを悪用した新型攻撃
- 既存のウイルス対策では検知できず、最新AIほど引っかかりやすい
- 法務DX・契約レビュー・履歴書スクリーニングなどAIに文書を読ませる業務すべてが射程圏
- 当面の防御策はOCR突き合わせ・埋め込みフォント確認・重要箇所の目視ダブルチェック
次のアクションとして、まずは社内で「AIレビューツールに通している契約書のうち、重要なもの一覧」を棚卸ししておきましょう。攻撃が広まる前にチェックフローを一段足しておくことが、いちばんの保険になります。
参考文献
- GIGAZINE「『Noroboto』攻撃登場、人間には普通の契約書なのに嘘フォントでAIだけ別文章を読ませる新型プロンプトインジェクション」(2026年5月25日)
- Tritium Legal Technologies「Noroboto: Deceptive Fonts as a Prompt Injection Vector」(2026年5月)
- Xiong et al.「Invisible Prompts, Visible Threats: Malicious Font Injection in External Resources for Large Language Models」arXiv:2505.16957(2025年5月22日)
- Keysight Blog「Invisible Prompt Injection Attack」(2025年5月16日)
- Wiz Academy「Defending AI Against Prompt Injection」
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
