2026年Q1 生成AI関連脆弱性 総まとめ

本まとめのスコープと方法論

対象期間は2024年10月〜2026年3月末の18ヶ月（過去6四半期）。判定基準は(a) LLM推論基盤・エージェントFW（LangChain・LlamaIndex・Haystack等）、(b) ローカルLLMランタイム（Ollama・vLLM・llama.cpp）、(c) RAG基盤・ベクトルDB（ChromaDB・Weaviate）、(d) AIチャットUI（AnythingLLM・LibreChat・Open WebUI）、(e) 商用AIサービス（M365 Copilot・ChatGPT・Claude・Gemini）のプラグイン／コネクタ、(f) モデル供給チェーン（HuggingFace・MLflow）の6軸^[2][3]。

情報源はNVD・MITRE・GHSA・HiddenLayer SAI・Protect AI Sightline・JFrog Security Research・Wiz Research・MSRC・WPScan・Snykを相互参照し、CVE-IDの一次採番と修正コミットの存在を必ず確認した^[1][3][4]。

四半期集計とトレンド

件数推移は2024年Q4≈45、2025年Q1≈70、Q2は110超、Q3-Q4は140〜160、2026年Q1速報で170件規模と右肩上がり^[2][3]。RCEとSSRFで全体の約55%。RAG/エージェントで「LLM出力に基づく外部リソース取得」が標準化し、SSRF×プロンプトインジェクションの複合ベクトルが急増^[5][6]。2026年Q1の特徴は(1) Copilot系ゼロクリック・プロンプトインジェクションの定着、(2) MCPサーバ実装でのコマンドインジェクション増、(3) HuggingFace悪意モデル検出の継続増の3点^[7][8][9]。

重大事例トップ10（CVSS順・実在CVEのみ）

このトップ10は「pickle/eval系デシリアライズ」「認可不備＋ファイル書込→RCE」「LLM出力ベースのSQL/Cypher/Python実行」の3類型で大半を占め、攻撃の関心が「モデル本体」より「周辺オーケストレーション層」に集中していることが読み取れる^[3][5]。

カテゴリ別深掘り

RCE

最大カテゴリ。LangChain系（CVE-2024-7042・CVE-2024-21513）、LlamaIndex（CVE-2024-0243）、Ollama（CVE-2024-37032）、vLLM（CVE-2024-10524）、Langflow（CVE-2025-3248）など主要OSS LLMスタックの大半がRCEを抱えた。共通因子はpickle/dill/joblib等Python固有シリアライザ依存、またはLLM出力をそのままexec/eval/SQLに流す設計欠陥^[10][13][20]。

Information Disclosure

EchoLeak（CVE-2025-32711）はメールにプロンプトを仕込むだけでテナント内データを外部送出できる「ゼロクリックLLM攻撃」を初実証。RAGコンテキスト境界の欠如が根本原因で、追随報告が他社製コパイロット系にも広がる^[7][16][17]。

Auth Bypass

AnythingLLM（CVE-2024-5826）、Langflow（CVE-2025-3248）等のAI管理UIで認可不備が継続発生。Shodan/Censys観測で数千台規模のオープン管理画面が確認されている^[14][19]。

SSRF・サプライチェーン・WP系

RAG/ツール実行系で「LLM出力URLを内部fetch」フローが定型化しSSRFが急増^[5][6]。HuggingFace上の悪意モデルはJFrog/HiddenLayer/Protect AIの監視で2024年通期100件超、2025年も四半期数十件ペース、Sleepy Pickle型の動的ペイロード注入も登場^[8][18][21]。WordPress側もWPScanで「AI ChatBot」「AI Engine」「GetGenie AI」等の認可不備・SSRF・XSSが積み上がる^[22]。

日本企業への影響評価

国内は2025年から生成AI PoC→本番化が急進し、M365 Copilot・社内RAG・Ollama等ローカルLLM・kintone/SlackのAIプラグインを並行導入する企業が増えた。EchoLeakはパッチ前に攻撃を受ければメール・SharePoint・Teams機密が外部送出され得る全社レベル事案^[16][17]。Ollama・AnythingLLM・Langflowを検証用に立てた組織では、認可なしでインターネット公開されているケースが国内Shodan観測でも複数確認されており、「PoC機の置き忘れ」が侵害起点になりやすい^[12][14][19]。

CISO/情シス向けチェックリスト5項目

1. 社内稼働のLLM FW（LangChain/LlamaIndex/Ollama/vLLM/Langflow/AnythingLLM等）を棚卸し、CVE-2024-37032・CVE-2024-7042・CVE-2025-3248等の修正版以上を月次確認^[10][12][19]。
2. RAG/エージェント基盤でLLM出力をexec/eval/SQL/HTTPに直接渡す設計を禁止し、サンドボックス／許可リスト化を徹底^[13][20]。
3. M365 Copilot利用時はXPIAフィルタ有効化と2025年6月以降のパッチ適用状態を監査^[16][17]。
4. HuggingFace取得工程にPicklescan/ModelScan/Protect AI Guardian等を組込み、pickle/dill依存モデルは原則禁止、safetensorsを標準化^[8][18][21]。
5. OSS AI管理UI（Ollama・AnythingLLM・Langflow・Open WebUI）はインターネット直結禁止、SSO＋IP制限＋WAF配下で運用。Shodan/Censysで露出を四半期確認^[12][14][19]。

打ち手

戦術の最優先は「AI-BOM（AI部品表）」導入。SBOM拡張として、利用中のモデル・データセット・推論基盤・プロンプトテンプレート・MCPサーバを台帳化し、CVE通知を当該行に紐付ける^[3]。次に、生成AIプロジェクトに「初回リリース前のAIレッドチーミング／四半期ごとのプロンプトインジェクション検査／年1回の第三者ペンテスト」を標準SDLCで組み込む。最後にEchoLeak級事案を想定した「AI由来データ漏洩インシデント対応Playbook」を法務・広報・情シスで整備する^[16][17]。

結論3点

1. 攻撃面はモデルではなく周辺オーケストレーション層に集中している。 RCE/SSRF/Auth Bypassが大半を占め、従来のWebアプリ脆弱性原則がそのまま適用可能である^[3][5]。
2. EchoLeak（CVE-2025-32711）は分水嶺だった。 ゼロクリックでテナントデータを抜く攻撃が現実化し、Copilot系の運用は「OS並みのパッチ管理対象」と位置付けるべき段階に入った^[16][17]。
3. サプライチェーンの自動スキャンは必須。 HuggingFaceからの悪意モデル混入は四半期ベースで継続発生しており、人手レビューでは追いつかない^[8][18][21]。

経営者視点

経営層に求められるのは「AI活用を止めない」前提の意思決定。EchoLeak以降、AIガバナンスは「使うかどうか」から「使い方をどう統制するか」へ移行した。直近論点は(1) 生成AI起因インシデントに備えたサイバー保険特約の見直し、(2) 取締役会レポートへ「AIリスクKRI（プロンプトインジェクション検出件数・露出AIアセット数・AI-BOM鮮度）」を追加、(3) AIプロダクトを開発・導入する事業部門への「セキュリティ責任の明示的分掌」の3点。AI推進と統制は対立軸ではなく、統制があるからこそ事業部門は安心してアクセルを踏める。CISO・情シスを「ブレーキ役」ではなく「速度維持のための4輪ブレーキ」と位置付けるメッセージを経営から発信させることが、2026年度の戦略アジェンダになる^[3][5][16]。

参考文献

1. NIST National Vulnerability Database (NVD), https://nvd.nist.gov/
2. MITRE CVE List, https://cve.mitre.org/
3. OWASP GenAI Security Project (2024-2025), https://genai.owasp.org/
4. GitHub Security Advisories (GHSA), https://github.com/advisories
5. OWASP Top 10 for LLM Applications 2025
6. HiddenLayer Security Advisory Index (SAI), https://hiddenlayer.com/sai/
7. Aim Security, “EchoLeak: Zero-Click AI Exploit in Microsoft 365 Copilot” (2025)
8. JFrog Security Research, “Malicious Models on Hugging Face” series (2024-2025)
9. Protect AI Sightline / huntr.com Advisory Database, https://huntr.com/
10. NVD CVE-2024-7042 (LangChain Experimental GraphCypherQAChain RCE)
11. NVD CVE-2024-39705 (NLTK pickle deserialization)
12. Wiz Research, “Probllama: Ollama RCE (CVE-2024-37032)” (2024-06)
13. NVD CVE-2024-0243 (LlamaIndex PandasQueryEngine RCE)
14. NVD CVE-2024-5826 (AnythingLLM Auth Bypass / Protect AI report)
15. Snyk Vulnerability DB, CVE-2024-21513 (langchain-experimental SQL Chain)
16. Microsoft Security Response Center, MSRC Advisory CVE-2025-32711 (M365 Copilot, 2025-06)
17. Aim Labs, “EchoLeak Technical Whitepaper” (2025)
18. HiddenLayer Research, CVE-2024-3568 (HuggingFace Transformers TF tokenizer RCE)
19. CISA Known Exploited Vulnerabilities Catalog, CVE-2025-3248 (Langflow)
20. NVD CVE-2024-10524 (vLLM custom tokenizer pickle RCE)
21. Trail of Bits, “Sleepy Pickle: Exploiting ML Models” (2024)
22. WPScan Vulnerability Database, AI plugin advisories, https://wpscan.com/