この問題は本試験の過去問ではありません。当サイトが出題傾向の分析に基づいて作成したオリジナル問題です。
第20問
論点:生成AIの利用に伴うリスク
生成AI の業務利用が広がる中で、生成AI をめぐるリスクや攻撃の手口も多様化 している。これらに関する記述として、最も適切なものはどれか。
- ア EchoLeak とは、URL の末尾に悪意ある命令を隠す、AI ブラウザを標的とした攻撃のことである。
- イ HashJack とは、Microsoft 365 Copilot の脆弱性を悪用した、ゼロクリックの情報漏えいのことである。
- ウ 間接プロンプトインジェクションとは、利用者が生成AI に特殊な指示を直接与え、その保護を解除させる攻撃のことである。
- エ サプライチェーン攻撃の一種として、生成AI が実在するパッケージ名を提案する性質を悪用するものが確認されている。
- オ シャドーAI とは、従業員が個人的に利用しているAI サービスを、職場に無許可で業務利用することである。
▼ 解答・解説を見る
正解:オ
解答:オ
IPA「情報セキュリティ10大脅威 2026 解説書[組織編]」(2026年3月)で整理された、生成AIをめぐる新しいリスク・攻撃手口を問う問題である。
- ア(×):URLの末尾に悪意ある命令を隠す、AIブラウザを標的とした攻撃はHashJackである。EchoLeakの説明としては誤り(アとイで説明が入れ替わっている)。
- イ(×):Microsoft 365 Copilotの脆弱性を悪用したゼロクリックの情報漏えいはEchoLeakである。EchoLeakはRAGの仕組みを悪用するもので、HashJackの説明としては誤り。
- ウ(×):間接プロンプトインジェクションは、利用者が直接指示を与えるものではない。「AIが動作過程で自ら参照したデータに不正プロンプトが含まれており、それを取り込むことでAIへのプロンプトインジェクションが成立してしまう攻撃」を指す。攻撃者が仕込んだデータをAIが自ら読み込んでしまう点が「間接」の意味である。なお、特殊な指示によってAIの保護を解除させることはジェイルブレイクと呼ばれる。「間接」の部分だけをずらした誤り。
- エ(×):一点だけ逆である。悪用されるのは、生成AIが「実在しないパッケージ名を提案する」性質である(パッケージハルシネーション)。攻撃者はAIが提案しがちな実在しない名称のパッケージを先回りして公開しておき、開発者に導入させる。「実在する」では攻撃が成立しない。
- オ(○):シャドーAIとは、従業員が個人的に利用しているAIサービスを、職場に無許可で業務利用することである。設問のとおりで、これが正しい。情報システム部門の管理が及ばないまま機密情報が外部のAIサービスに入力されるおそれがある。
参考(混同しやすい用語の整理)
- ハルシネーション:対話型AIが、架空の情報をあたかも事実として生成し、利用者に提示する現象。
- モデル崩壊:AIが生成したデータをAI自身が学習することで精度が下がる/多様性が失われる現象。
- データドリフト(分布シフト):学習時と本番運用時とで、入力データの傾向がズレていく現象。
よって オ。
なぜこの論点を予想したか
AI・生成AIの用語はR02以降ほぼ毎年出題されており、R06第24問(ハルシネーション)、R07第20問(AIシステムへの攻撃)と2年連続。10大脅威2026で「AIの利用をめぐるサイバーリスク」が初選出3位に入り、その解説書(2026年3月)でシャドーAI・間接プロンプトインジェクション・EchoLeak・HashJackといった新しい手口が整理されたことから、R08はこれらの新語が問われる可能性が高い。R06・R07が扱った用語とは重複しない切り口を選んだ。
出典
- IPA『情報セキュリティ10大脅威 2026 解説書[組織編]』(2026年3月) https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf
- IPA『情報セキュリティ10大脅威 2026』 https://www.ipa.go.jp/security/10threats/10threats2026.html