「Anthropic公式の緊急パッチです」——補助金サイトに仕掛けられた罠、AIが数千万円を盗まれた – shiritomo | AI・SNS・話題のテック情報メディア by Hashout

「Anthropic公式の緊急パッチです」——補助金サイトに仕掛けられた罠、AIが数千万円を盗まれた

目次

「ガチで仕掛けられてるんだな」——6000いいね超の衝撃なぜAIは「公式指示」を信じてしまうのかさらに深掘りしたい方へShiritomo編集部の考察まとめ

補助金の申請条件を調べようとサイトを開いただけなのに、そこに埋め込まれていたのは人間向けの文章ではありませんでした。
AIエージェント(ユーザーに代わって自律的に作業をこなすAI)だけが読み取る、偽の「緊急パッチ指示」だったのです。

補助金リサーチに使われるウェブサイトに、Anthropic公式を装ったプロンプトインジェクション(AIへの指示文の中に悪意ある命令を紛れ込ませ、AIを操る攻撃手法)が仕込まれていたことが確認されました。
AIエージェントがこのサイトを読み込んだ際、偽の緊急指示に従って動いてしまい、APIキーやシークレットキー(サービスに接続するための秘密の認証情報)を外部に送信するよう誘導される仕組みだったとみられます。
ある広告代理店では、この攻撃によって数千万円規模の被害が発生したと報告されています。
ClaudeやOpus 4.8など、複数のAIモデルがこの手口の影響を受けやすいという指摘もあります。


「ガチで仕掛けられてるんだな」——6000いいね超の衝撃

この件がX上で広く知られるきっかけになったのは、スクリーンショット付きの一つの投稿でした。

スレッズで流れてきたけどガチでサイトにプロンプトインジェクション仕掛けられてるんだな pic.twitter.com/2EoePOmkYY

— yousukezan (@yousukezan) 2026年7月10日

投稿者は「スレッズで流れてきたけどガチでサイトにプロンプトインジェクション仕掛けられてるんだな」と簡潔にコメントし、この投稿は6,000件を超えるいいねと110万件近いインプレッションを記録しました。
1,500件以上リポストされていることからも、AIエージェントを業務で使う層に強い危機感が広がったことがうかがえます。
「サイトを読ませただけで攻撃が成立する」という点が、多くの利用者にとって想定外だったようです。

なぜAIは「公式指示」を信じてしまうのか

プロンプトインジェクションは、決して目新しい攻撃手法ではありません。
ウェブアプリのセキュリティ基準づくりを行う国際的な非営利団体OWASP(オワスプ)が定める、LLM(大規模言語モデル:ChatGPTやClaudeのようにAIが文章を理解・生成する仕組みの総称)を使ったアプリのセキュリティリスク一覧「Top 10」では、2025年版・2026年版のいずれでも最重要リスクの一つに位置づけられています。

この攻撃が厄介なのは、ユーザー自身が悪意あるコードを実行するわけではない点にあります。
AIエージェントがウェブサイトの内容を「情報収集のための参考資料」として読み込んだ際、そのページに埋め込まれた文章を、あたかも正当な指示であるかのように解釈してしまうことがあります。
今回のケースでは「Anthropic公式からの緊急パッチ指示」という体裁を取ることで、AIエージェントに開発元からの正規の連絡だと誤認させようとしたと考えられます。
人間であれば違和感を覚えるような不自然な指示でも、AIは文脈次第でそのまま実行してしまう可能性があるのです。

海外では、企業向けAIエージェントがGoogleドキュメントやカレンダーに埋め込まれた悪意ある指示を読み取り、初期侵入からわずか22秒で外部にデータを送信した事例も報告されています。
AIエージェントの業務利用が広がるほど、こうした「読み込んだ情報がそのまま命令になる」構造そのものがリスクになっているようです。

補助金や助成金の情報は、公的機関のサイトだけでなく、まとめサイトや代行業者のページを横断的に調べる作業が発生しやすい分野です。
検索範囲が広がるほど、どこかに罠が仕込まれたページを踏んでしまう確率も上がるという点で、今回の攻撃対象として補助金リサーチが選ばれたことは合理的だったのかもしれません。
人間なら怪しいと感じて読み飛ばすような不自然な文言でも、AIエージェントは「ページの一部」として機械的に処理してしまう場合があります。
この人間とAIの感じ方の違いこそが、攻撃者にとっての付け入る隙になっているのです。

さらに深掘りしたい方へ

プロンプトインジェクションの仕組みや対策については、Anthropic公式のガイドで詳しく解説されています。
AIエージェントに外部サイトを読み込ませる業務フローがある場合は、権限設定の見直しを検討する価値がありそうです。

Shiritomo編集部の考察

この一件は、企業のSNS運用担当者にとっても他人事ではありません。
AIエージェントに競合調査や情報収集を任せる運用が広がる中、参照先のウェブサイトが「汚染」されているリスクは、今後さらに現実味を帯びていくでしょう。
特に、担当者がAIに「このサイトを見て要約して」と気軽に指示するようなワークフローほど、こうした攻撃の入口になりやすい構造があります。

拡散のパターンとしても興味深い点があります。
今回話題を広げたのは、企業のプレスリリースやセキュリティ会社の告知ではありませんでした。
一人のユーザーによる簡潔な報告が数千いいねを集めて広がったことは、専門的な脅威情報ほど「当事者に近い一次報告」が信頼され拡散されやすいというSNS特有の傾向を示しています。
自社が同様の被害に遭った場合、公式発表のタイミングと内容次第で、ユーザーの不安が先に独り歩きするリスクがある点は意識しておくべきでしょう。

まとめ

AIエージェントが読み込むウェブサイトそのものが攻撃の入口になり得ることを、今回の一件は改めて示しました。
便利さの裏側にある新しいリスクとして、AIに任せる作業範囲を見直すきっかけにしてもよさそうです。

関連記事

さらに最新記事をチェックしたい方は、
「AI最新情報」カテゴリ一覧
もご覧ください。

SNSマーケティングの最新記事

「SNSマーケティングの最新記事」の一覧を見る

SNS分析を実務で進めたい方へ

記事で紹介したようなSNSトレンド検証を、日次レポートとして定常運用したい場合は Social Report が便利です。
ハッシュタグ分析や競合比較をまとめて確認できます。

Social Reportの詳細を見る