>
>
最終更新日
生成AIからの情報漏洩を防ぐには、過去のインシデントを分析し、情シス主導でシャドーAI対策と利用ガイドラインを構築することが確実な解決策となります。本記事は自社のセキュリティ体制を強化したい担当者へ向けた解説です。
シャドーAIとは?インシデント急増の理由と4つの類型
シャドーAIとは、情報システム部門の許可やセキュリティ審査を経ずに、従業員が独自の判断で業務に利用する生成AIサービスのことです。従来のシャドーITとは異なり、入力したデータがAIのモデル学習に利用され、外部へ流出する不可逆的なリスクを抱えています。
シャドーAIの定義と本質的な脅威
業務効率化を目的として、従業員がスマートフォンや個人のPCから無料の生成AIツールにアクセスする行為が常態化しつつあります。これがシャドーAIと呼ばれる現象です。情報システム部門が把握していないクラウド環境に企業データが送信されるため、データガバナンスが完全に失われます。かつての未認可クラウドストレージ利用(シャドーIT)ではデータの保管場所が問題となりましたが、生成AIの場合は「従業員の思考プロセスや社内機密そのものがAIの知識として吸収される」という全く新しい次元の脅威を内包しています。
IBMの調査レポート(Cost of a Data Breach Report)によれば、シャドーAIが関与するデータ侵害の平均コストは527万米ドルに達すると指摘されています。これは通常のデータ侵害コストを大きく上回る数字であり、経営に深刻な打撃を与える要因となっています。
リスクが顕在化する4つの攻撃類型
生成AIの利用に伴うインシデントは、主に以下の4つのパターンに分類されます。1つ目は、個人情報や機密情報の無意識な入力です。無料版のAIツールはユーザーの入力内容を再学習データとして利用する仕様が多く、後日別のユーザーにその内容が回答として出力される危険性を持ちます。2つ目は、AIツール提供側のプログラムのバグやシステムの不具合によるデータの露出です。クラウドサービスである以上、ベンダー側のミスで他者のチャット履歴が見えてしまう事態が実際に起きています。
3つ目は、マルウェア感染による認証情報の窃取です。従業員の端末がマルウェアに感染し、AIアカウントのログイン情報がダークウェブで売買されるケースが相次いでいます。最後は、プロンプトインジェクションと呼ばれる意図的な攻撃手法です。これはAIに対する自然言語の指示を巧妙に操り、システムの安全装置を突破して非公開情報を引き出す手口を指します。社内データベースとAIを連携させている企業にとって、極めて警戒すべき脅威となります。
次章では、このシャドーAIリスクが最悪の形で顕在化した2026年の最新インシデント事例を詳しく見ていきます。
▲ シャドーITとシャドーAIのリスク比較
未認可クラウドの利用実態を可視化・制御する手法として、全体像を整理したSMP(SaaS Management Platform)の解説記事もあわせて参照してください。
最新事例(Vercel × Context.ai)の全容とインシデントの連鎖
2026年4月に発覚したVercelのインシデントは、一人の従業員が無断で利用したAIツールと過剰な権限付与が、大規模なデータ漏洩を引き起こすことを証明しました。
マルウェア感染から始まったサプライチェーン攻撃
Web開発プラットフォームとして世界中で利用されているVercelにおいて、2026年4月に内部システムへの不正アクセスと顧客の環境変数の漏洩が公表されました。この事件の恐ろしい点は、Vercelのシステムが直接ハッキングされたわけではないということです。発端は、Vercelの従業員が業務利用していたサードパーティ製のAIツール「Context.ai」にありました。
セキュリティ企業の調査により、2026年2月にContext.aiの従業員が個人の端末でゲームのチートツールをダウンロードした際、「Lumma Stealer」と呼ばれる情報窃取型マルウェアに感染していたことが判明しています。このマルウェアによってContext.aiのGoogle Workspace認証情報やAWSキーが盗み出され、攻撃者はContext.aiの内部環境に深いアクセス権を確保しました。
過剰なOAuth権限とシャドーAIが招いた悲劇
問題はここからVercelへと飛び火します。Vercelの一部の従業員が、情シスの正式な審査を通さずに(まさにシャドーAI 事例として)Context.aiの「AI Office Suite」という機能を利用していました。その際、会社のGoogle Workspaceアカウントを使用してサインアップし、「Allow All(すべて許可)」という極めて広範なOAuth権限を与えていたのです。
Context.aiのシステムを掌握した攻撃者は、この過剰に付与されたOAuthトークンを悪用し、Vercelの従業員アカウントになりすましてVercelの内部環境へ横展開(ピボット)しました。そして、暗号化されていなかった「非敏感(non-sensitive)」な環境変数を列挙し、解読することに成功します。盗み出されたデータはその後、ハッカーフォーラムであるBreachForumsにて200万ドルという高額で売りに出される事態に発展しました。一個人の不用意なAI利用が、企業の根幹を揺るがすサプライチェーン攻撃の引き金となったのです。
このように単一のAIツールが企業全体を脅かすケースは氷山の一角であり、他にも多数の企業が同様の被害に遭っています。
▲ Vercelインシデントを引き起こした連鎖プロセス
生成AIインシデント・情報漏洩事例2〜8の詳細解説
世界中の企業で、ソースコードの流出からアカウント情報の売買まで、多岐にわたる生成AIインシデント事例が報告されています。
事例2:大手電子機器メーカーにおけるソースコード流出
【発生時期】2023年4月
【被害企業】大手電子機器メーカー(サムスン電子)
【インシデントの概要と原因】
半導体部門のエンジニアが、自社の独自ソースコードや未公開の会議録の要約を目的として無料版のChatGPTに入力しました。利用していたアカウントで学習へのオプトアウトが設定されていなかったため、企業の競争力の源泉である機密情報がAIの学習データとしてサーバーに保存される結果となりました。典型的な社内リテラシー不足による生成AI インシデント 事例です。
事例3:クラウド基盤のバグによるチャット履歴の露出
【発生時期】2023年3月
【被害サービス】ChatGPT(OpenAI)
【インシデントの概要と原因】
ユーザーのチャット履歴画面に、全く無関係の他のユーザーのチャットタイトルや、一部の有料会員の個人情報(氏名、クレジットカード番号の下4桁など)が表示される不具合が発生しました。原因は提供元が利用していたオープンソースライブラリ(Redisクライアント)のバグでした。どれほど信頼できるベンダーであっても、システムの脆弱性による情報露出のリスクはゼロにならないことを示しています。
事例4:マルウェア感染によるアカウント情報の大規模流出
【発生時期】2023年6月報告(Group-IB調査)
【被害規模】10万件以上のChatGPTアカウント
【インシデントの概要と原因】
過去1年間にわたり、10万件を超えるChatGPTユーザーの認証情報がダークウェブで取引されていたことが発覚しました。AI側のサーバーがハッキングされたのではなく、ユーザーの端末が情報窃取型マルウェアに感染し、ブラウザに保存されたパスワードが抜き取られたことが原因です。アカウントが乗っ取られると過去の業務プロンプトも全て攻撃者の手に渡ります。
事例5:金融機関のAIチャットボットへのプロンプトインジェクション
【発生時期】2023年後半
【被害企業】国内大手金融機関
【インシデントの概要と原因】
顧客向けに公開していたAIチャットボットに対し、悪意のあるユーザーがシステムの裏側の指示(システムプロンプト)を上書きするような特殊な命令を入力しました。このプロンプトインジェクション攻撃により、本来隠蔽されているべき内部の動作仕様や非公開データが回答として引き出されてしまいました。
事例6:大手ECサイトにおける内部データの学習取り込み
【発生時期】2023年中旬
【被害企業】海外の大手ECプラットフォーム
【インシデントの概要と原因】
社内のデータサイエンティストが、顧客の購買履歴や内部の販売戦略データを外部の生成AIツールに安易に入力して分析を行いました。結果としてそのデータがAIのモデルに吸収され、競合他社が類似のプロンプトを入力した際に、自社の販売戦略の一部が推測されるような出力がなされるというAI 情報漏洩 事例に発展しました。
事例7:生成AIサービス独自の脆弱性によるプロンプト漏洩
【発生時期】2023年
【被害サービス】リートンなどのAIプラットフォーム
【インシデントの概要と原因】
特定の生成AIプラットフォームにおいて、アクセス制御の設計不備が存在し、本来は分離されているべきユーザー間のプロンプト履歴が第三者から閲覧できる状態になっていました。企業向けに専用環境を構築していない場合、プラットフォーム側の脆弱性が直ちに自社の情報漏洩につながる危険性があります。
事例8:認証情報の流出とランサムウェアへの二次被害
【発生時期】2025年2月
【被害規模】約2,000万件のアカウントデータ流通
【インシデントの概要と原因】
ダークウェブのフォーラム上で、大手生成AIサービスのアカウント認証情報とされる膨大なデータが出品されました。これらの認証情報を購入した攻撃者が、正規の従業員になりすまして企業の内部ネットワークに侵入し、ランサムウェアを展開して身代金を要求する二重脅迫の材料として悪用する深刻な二次被害が報告されています。
これらのAI情報漏洩事例を俯瞰すると、被害を引き起こす明確な共通点が見えてきます。
関連して、安全な業務利用が可能な生成AIツールとして注目されるClaudeの特徴や最新AI活用事例も合わせて押さえておきたい観点です。
全事例の共通パターンと情シスが直面する課題
生成AIインシデントの多くは、エンドポイントの保護不足と従業員のリテラシー欠如、そして過剰な権限付与が重なった瞬間に発生しています。
エンドポイント保護の欠落と認証情報の脆弱性
これまでの事例から読み取れる最大の共通点は、AIプラットフォームそのものの堅牢性よりも、アクセスする端末(エンドポイント)の脆弱性が狙われているという事実です。Vercelのインシデントや10万件のアカウント流出事例が示すように、従業員のPCがマルウェアに感染すれば、どれほど強力なAI基盤を導入していても容易に突破されてしまいます。また、SaaS間の連携を容易にするOAuth認証において、利用者が内容を理解せずに「すべてのファイルへのアクセス」を許可してしまう行為が、被害の範囲を爆発的に広げる要因となっています。
従業員リテラシーの不足と利用ガイドラインの形骸化
もう一つの明白なパターンは、AIの仕組みに対する現場の無理解です。入力したデータが学習に使われるという事実を知らずにソースコードや顧客情報を入力してしまうケースは後を絶ちません。企業が利用ガイドラインを定めていても、それが現場の業務実態に即していなければ形骸化し、結局は利便性の高い未認可のAIツールに流れてしまうのです。情シス部門は、単なる禁止令を出すのではなく、安全に使える代替環境を用意しなければこのジレンマを解消できません。
共通する弱点を塞ぐためには、情シスによる先制的なルール作りとシステム的制御が求められます。
強固なアクセス制御や適切な権限管理の仕組みについては、全体像を整理したMicrosoft Entra IDの機能と導入メリットに関する記事もあわせて参照してください。
シャドーAIの防止策と安全なAI導入の判断基準
シャドーAIを防ぐ最善の策は、一律の禁止ではなく、情シスが安全な法人向けAI環境を提供し、明確な導入基準を設けることです。
法人向け生成AI環境の提供とアクセス制御
従業員が未認可のツールに手を出す最大の理由は、公式のツールが存在しないか、使い勝手が悪いためです。この状況を打破するためには、情報システム部門が主体となって「Copilot for Microsoft 365」や「ChatGPT Enterprise」といった安全な法人向けAI環境を整備する必要があります。これらのエンタープライズ版は、入力したデータがAIモデルの再学習に利用されない(オプトアウト)ことが契約上保証されており、データの外部流出リスクを大幅に低減できます。
また、技術的な防止策としてCASB(Cloud Access Security Broker)やDLP(Data Loss Prevention)ソリューションを導入し、従業員のシャドーAI利用をネットワークレベルで可視化・遮断する仕組みを構築することも有効です。国内でも、パナソニックコネクトや日清食品といった企業が、自社専用のセキュアなAIアシスタントを開発・導入することで、シャドーAIを排除しながら年間数万時間規模の業務効率化に成功しています。
情シス向け:生成AIツールの導入可否を判断する基準表
新しいAIツールの導入要望が現場から上がってきた際、情シスが客観的に安全性を評価するための基準を以下の表に整理しました。
評価項目 | 導入OKの基準(安全) | 導入NGの基準(危険) |
|---|---|---|
データの学習利用 | 入力データがAIモデルの学習に利用されない旨が規約に明記されている | デフォルトで学習に利用され、オプトアウト設定が複雑または存在しない |
認証とアクセス管理 | SSO(シングルサインオン)連携と多要素認証(MFA)が強制できる | 個人のメールアドレスで登録でき、企業側でアカウントの一括管理ができない |
OAuth権限の要求 | 連携に必要な最小限の権限(Read-only等)のみを要求する | 「すべてのファイルの編集・削除」など、業務に不要な過剰権限を要求する |
監査ログの取得 | 管理者がユーザーの利用履歴やプロンプトのログをエクスポートできる | 管理者向けのダッシュボードや監査ログ機能が提供されていない |
このような明確な基準を全社に周知することで、現場の独断による危険なツールの導入を未然に防ぐことができます。
最後に、生成AIのリスク管理に関して情シス担当者から寄せられる疑問にお答えします。
▲ シャドーAIを防止する安全なシステム構成
安全なAI環境の基盤となる具体的なMicrosoft 365の機能や料金プランについては、専用の解説記事で詳しく解説しています。
よくある質問
Q:シャドーAIとは何ですか?
A:情報システム部門の正式な許可やセキュリティ審査を受けずに、従業員が個人の判断で業務に利用している生成AIサービスのことです。情報漏洩の主要な原因となっています。
Q:無料の生成AIを業務で使うとどのようなリスクがありますか?
A:入力した顧客情報や機密データがAIの学習データとして取り込まれ、他のユーザーへの回答として出力されるAI情報漏洩事例のリスクがあります。
Q:生成AIインシデントを防ぐための初期対策は何ですか?
A:まずは従業員に対して機密情報の入力を禁じるガイドラインを策定し、同時に学習利用されない法人向け生成AI環境を情シス主導で整備することです。
まとめ
本記事では、Vercelの最新インシデントをはじめとする生成AIに起因した情報漏洩事例を解説しました。シャドーAIは、過剰な権限付与やマルウェア感染と結びつくことで、企業に壊滅的な被害をもたらす可能性があります。情シス部門は、単なる利用禁止ではなく、セキュアな法人向けAIの提供と明確なルール整備を通じて、現場の業務効率化とセキュリティを両立させなければなりません。以下のチェックリストを活用し、自社の対策状況を今すぐ見直してください。
✅ 社内のシャドーAI利用状況をアンケートやCASBで確認した
✅ AIツールの導入可否を判断するセキュリティ基準を策定した
✅ 従業員向けに生成AIの安全な利用ガイドラインを周知した
✅ Vercel事例のような過剰なOAuth権限が付与されていないか監査した
✅ 入力データが学習されない法人向け生成AI環境を整備した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
