はじめに——「使っているAIツール、本当に安全ですか?」
「プロンプトインジェクション」「フィッシング」——AIセキュリティの話題では、これらの攻撃手法がよく取り上げられます。しかし2026年、もうひとつ知っておくべき重大なリスクが現実化しつつあります。
それが「AIサプライチェーン攻撃」です。
あなたが毎日使っているAIツール。そのツールが読み込んでいるAIモデル、プラグイン、学習データ——これらが「上流」で汚染されていたらどうなるでしょうか?どれほど慎重にプロンプトを書いても、ツールの使い方を工夫しても、ツールそのものが汚染されていれば、出力はすべて信頼できないということになります。
IBM X-Forceの2026年脅威インテリジェンスレポートによると、大規模なサプライチェーンおよびサードパーティ侵害は2020年以降で約4倍に増加しています。また、セキュリティ企業Cybleの調査では、2025年10月のソフトウェアサプライチェーン攻撃は過去最高を記録し、前年の月平均の2倍以上に達しました。
この記事では、中小企業の経営者・管理職が「今、知っておくべきこと」に絞って、AIサプライチェーン攻撃の仕組み、実際の被害事例、そしてAIツール選定時に今日からチェックできる実務的な対策を整理します。
AIサプライチェーンとは何か——「見えない部品」の話
まず、「サプライチェーン」という言葉を整理しましょう。
製造業では、製品を作るために原材料や部品を複数の業者から調達します。この調達の連鎖が「サプライチェーン」です。AIにも同じ構造があります。
あなたが使っているAIツール(ChatGPT、Claude、画像生成AI、社内チャットボットなど)は、以下のような「部品」で構成されています。
| AIの「部品」 | 具体例 | 誰が作っているか |
|---|---|---|
| 基盤モデル(Foundation Model) | GPT-4o、Claude、Llama、Geminiなど | OpenAI、Anthropic、Meta、Googleなど大手AI企業 |
| オープンソースモデル | Hugging Faceで公開されているモデル | 世界中の研究者・開発者(個人含む) |
| 学習データ・ファインチューニングデータ | 業界特化データ、自社データ | データベンダー、自社、第三者 |
| プラグイン・ツール連携 | GPTsのアクション、MCPサーバー、API連携 | サードパーティ開発者 |
| ライブラリ・フレームワーク | PyTorch、TensorFlow、LangChainなど | オープンソースコミュニティ |
| LoRAアダプター | モデルを特定用途に微調整するための追加パラメータ | サードパーティ開発者 |
ここで重要なのは、あなたが直接選んでいない「部品」が大量に含まれているということです。自社でAIツールを導入する際、基盤モデルのベンダーは選べても、そのモデルが依存しているライブラリや、プラグインが内部で使用しているコードまでは、ほとんどの企業が確認していません。
この「見えない部品」のどれかひとつでも汚染されると、あなたのAIシステム全体が影響を受ける——それがAIサプライチェーン攻撃の本質です。
AIサプライチェーン攻撃の3つの手口
OWASPの「Top 10 for Large Language Model Applications 2025」では、サプライチェーン脆弱性(LLM03:2025)が第3位にランクインしています(前年の第5位から上昇)。この脅威は確実に拡大しています。
攻撃の手口は大きく3つに分類できます。
手口1:モデルの汚染(Model Poisoning)
概要:AIモデルそのものに悪意あるコードや偏ったデータを仕込む攻撃です。
具体例:
セキュリティ研究者がHugging Face(世界最大のオープンソースAIモデル共有プラットフォーム)に「PoisonGPT」と名付けた実験的な汚染モデルをアップロードし、偽情報を拡散するモデルが標準的なベンチマークテストをすり抜けることを実証しました。見た目は正常に動作するのに、特定の質問に対してだけ嘘の情報を返す——そんなモデルが公開プラットフォーム上に存在し得るということです。
2025年にはProtect AI社がHugging Face上で447万以上のモデルバージョンをスキャンし、約5万1,700のモデルに合計35万2,000件の危険なコードや不審な問題を発見しています。Hugging Face上のモデルの中には、読み込んだだけでバックドア(遠隔操作の裏口)が開くものも確認されています。
なぜ危険か:オープンソースのAIモデルは「無料で高性能」という魅力から、多くの企業が検証なしに採用しています。しかし、モデルファイルの中にはPython のPickle形式のように、読み込むだけで任意のコードが実行される形式が含まれています。正規のセキュリティスキャンツールを回避する手法も次々と発見されており、「プラットフォームが安全と言っているから大丈夫」とは言い切れません。
手口2:学習データ・ファインチューニングデータの汚染(Data Poisoning)
概要:AIモデルの学習に使われるデータに、悪意ある情報やバイアスを混入させる攻撃です。
具体例:
OWASPのLLM Top 10では、データ汚染攻撃(LLM04:2025)として、学習データに偏った事例を注入してモデルの出力を歪め、誤情報を拡散させるケースや、ファインチューニング段階で有害なデータを混入させ、モデルが偏った出力や攻撃的な応答を生成するようになるケースが具体例として挙げられています。
特にRAG(検索拡張生成)システムを導入している企業では、外部から取得するナレッジベースが汚染された場合、AIの回答がすべて信頼できなくなるリスクがあります。
なぜ危険か:データ汚染は「遅延型」の攻撃です。モデルがテスト環境では正常に動作しているように見えても、本番環境で特定の条件が揃ったときにだけ悪意ある動作をする「スリーパー攻撃」が可能です。発見が極めて困難なため、被害が拡大してから気づくケースが多いのが特徴です。
手口3:プラグイン・ツール連携の汚染(Plugin / Tool Poisoning)
概要:AIツールに追加するプラグインやMCPサーバー、API連携を通じて悪意あるコードを実行させる攻撃です。
具体例:
2026年1月、AI開発フレームワーク「OpenClaw」のパッケージレジストリ「ClawHub」で、約1,184の悪意あるスキル(パッケージ全体の約5分の1)が確認される大規模なサプライチェーン攻撃が報告されました。タイポスクワッティング(正規パッケージ名に似た偽名での登録)や自動大量アップロードなど、従来のソフトウェアサプライチェーン攻撃と同様の手法が使われていました。
また、MCP(Model Context Protocol)サーバーの脆弱性を利用した攻撃では、ツール記述を改ざんすることでAIモデルに誤った動作をさせる「ツールポイズニング」も報告されています。AIが「検索機能を呼び出している」と思い込んで、実際にはデータを外部に送信していた——そんなケースです。
なぜ危険か:2025年以降、AIエージェント(ブラウジング、ドキュメントアクセス、ツール呼び出しなどを自律的に行うAI)の普及に伴い、攻撃対象面が急速に拡大しています。セキュリティ企業Lakeraの調査では、間接的な攻撃(外部データソースを経由する攻撃)は直接的なプロンプトインジェクションよりも少ない試行回数で成功する傾向が確認されています。
なぜ中小企業が狙われるのか
「うちは大企業じゃないから関係ない」——そう思った方こそ注意が必要です。
| 中小企業の特徴 | 攻撃者にとっての「狙い目」ポイント |
|---|---|
| セキュリティ専任者がいない | AIツールの安全性を検証する体制がない |
| コスト意識から無料・オープンソースツールを多用 | 検証が不十分なモデルやプラグインを使いがち |
| AIの導入スピードを優先 | セキュリティチェックが後回しになる |
| 大企業のサプライチェーンに組み込まれている | 中小企業を踏み台にして大企業に侵入する「島渡り攻撃」の標的になる |
IBM X-Forceの2026年レポートでは、AIを活用したコーディングツールがソフトウェア開発を加速させる一方で、検証不十分なコードを持ち込むケースが増加しており、オープンソースエコシステムへの攻撃圧力は2026年にさらに高まると予測しています。
つまり、AIツールを「便利だから」と導入するだけでは、知らないうちにサプライチェーン攻撃の入口を開けてしまう可能性があるのです。
AIツール選定時の「安全チェックリスト」——5つの確認ポイント
ここからは実務的な対策です。中小企業がAIツールを選定・導入する際にチェックすべき5つのポイントを整理します。セキュリティの専門知識がなくても確認できる項目に絞っています。
チェック1:ベンダーの透明性を確認する
確認すべきこと:
- AIツールのベンダーは、使用しているモデルや学習データの出所を公開しているか
- セキュリティポリシーやインシデント対応体制が公開されているか
- 第三者によるセキュリティ監査を受けているか
実務のポイント:大手ベンダー(OpenAI、Anthropic、Googleなど)は、利用規約やセキュリティホワイトペーパーを公開しています。一方で、無名のベンダーや個人開発のツールでは、これらの情報が欠落していることが多いです。「情報を公開していないベンダーは避ける」というシンプルなルールが最初の防御線になります。
チェック2:モデルカードを確認する
モデルカードとは:AIモデルの「成分表示」のようなもので、モデルの用途、学習データの概要、性能評価、既知の制限事項などが記載されたドキュメントです。
確認すべきこと:
- モデルカード(またはそれに相当するドキュメント)が公開されているか
- 学習データの出所と範囲が明示されているか
- 既知のバイアスや制限事項が正直に記載されているか
- 推奨される用途と推奨されない用途が明記されているか
実務のポイント:Hugging Face上の信頼できるモデルには必ずモデルカードが付いています。モデルカードのないモデルは、いわば「成分表示のない食品」と同じです。モデルカードがない=使うべきではないと考えて間違いありません。
チェック3:プラグイン・拡張機能の審査体制を確認する
確認すべきこと:
- プラグインやアプリストアに審査プロセスがあるか
- プラグインに付与される権限(データアクセス、外部通信など)が明示されているか
- 不審なプラグインの報告・削除の仕組みがあるか
実務のポイント:ChatGPTのGPTsストアやClaudeのMCP連携など、AIツールのエコシステムは急速に拡大しています。しかし、すべてのプラグインが十分に審査されているわけではありません。「よく知らない開発者のプラグインは使わない」「必要最小限のプラグインだけを有効にする」を基本ルールにしましょう。
チェック4:ソフトウェア部品表(SBOM)の有無を確認する
SBOMとは:Software Bill of Materials(ソフトウェア部品表)の略で、ソフトウェアに含まれるすべてのコンポーネント(ライブラリ、フレームワーク、依存関係)を一覧にしたドキュメントです。
確認すべきこと:
- AIツールのベンダーがSBOMを提供または公開しているか
- 使用しているオープンソースコンポーネントとそのバージョンが明示されているか
- 既知の脆弱性への対応状況が確認できるか
実務のポイント:SBOMは、OWASPのCycloneDXやSPDXといった標準フォーマットで作成されます。米国では2021年の大統領令以降、政府調達ソフトウェアにSBOMの提供が求められるようになりました。日本でもサプライチェーンセキュリティの文脈でSBOMへの関心が高まっています。ベンダーにSBOMの有無を問い合わせること自体が、「この顧客はセキュリティを重視している」というシグナルになり、ベンダー側の対応改善にもつながります。
チェック5:アップデートとインシデント対応を確認する
確認すべきこと:
- AIツールのセキュリティアップデートの頻度と配信方法
- 脆弱性が発見された場合の通知体制(メール、ダッシュボード等)
- 過去のセキュリティインシデントとその対応履歴
実務のポイント:AIツールは更新頻度が非常に高く、新機能の追加とともにセキュリティリスクも変化します。「自動アップデートが有効になっているか」「ベンダーからのセキュリティ通知を受け取る設定になっているか」を定期的に確認しましょう。
社内ですぐ実践できる「AIサプライチェーン防衛」5つのルール
ツール選定だけでなく、日常の運用でもリスクを減らすことができます。中小企業がすぐに実践できる5つのルールを紹介します。
ルール1:「公式ソースからのみ導入する」を徹底する
AIモデル、プラグイン、ライブラリは必ず公式サイトまたは公式リポジトリからダウンロードしてください。非公式サイトからの入手は、汚染されたバージョンを掴むリスクが格段に高まります。Hugging Faceでは「verified(認証済み)」マークの付いたモデルを優先しましょう。
ルール2:「最小権限の原則」を適用する
AIツールやプラグインに与える権限は、業務に必要な最小限にとどめてください。たとえば、社内文書を読み取るだけのAIツールに、外部へのデータ送信権限は不要です。プラグインが要求する権限が過剰でないか、導入前に必ず確認しましょう。
ルール3:「AI導入台帳」を作成する
社内で使用しているAIツール・モデル・プラグインの一覧を台帳として管理してください。以下の項目を最低限記録しましょう。
| 記録項目 | 記入例 |
|---|---|
| ツール名 | ChatGPT Team |
| ベンダー名 | OpenAI |
| 利用プラン | Team(有料) |
| 利用部門 | 営業部、マーケティング部 |
| 有効にしているプラグイン | Web検索、コードインタープリター |
| 取り扱うデータの種類 | 顧客問い合わせデータ(個人情報なし) |
| 最終セキュリティ確認日 | 2026年3月1日 |
台帳がなければ「何を守るべきか」がわかりません。Excelやスプレッドシートで十分なので、まず一覧を作ることが第一歩です。
ルール4:定期的に「棚卸し」を実施する
四半期に一度、AI導入台帳を見直し、以下を確認してください。
- 使用していないツールやプラグインがないか(不要なものは即時削除)
- ベンダーの利用規約やセキュリティポリシーに変更がないか
- 新たなセキュリティ脆弱性が報告されていないか
棚卸しは「攻撃対象面を減らす」最もシンプルで効果的な対策です。
ルール5:従業員に「野良AI禁止」を周知する
IT部門が把握していないAIツールを従業員が個人的に業務利用する「シャドーAI」は、サプライチェーン攻撃の最大の盲点です。無料のAIツールやブラウザ拡張機能を検証なしに使用することは、セキュリティ上の大きなリスクになります。
「会社が承認したAIツール以外は業務で使用しない」というルールを明文化し、全従業員に周知することが重要です。
OWASP Top 10 for LLMsに学ぶ——サプライチェーン関連リスクの位置づけ
AIセキュリティの国際的な指針として、OWASPが発行する「Top 10 for Large Language Model Applications」があります。2025年版では、サプライチェーンに関連するリスクが上位にランクインしています。
| 順位 | リスク名 | 概要 | サプライチェーンとの関連 |
|---|---|---|---|
| LLM01 | プロンプトインジェクション | 悪意ある入力でAIの動作を操作 | 汚染されたプラグイン経由で間接的に実行される |
| LLM02 | 機密情報の漏洩 | AIが機密データを出力に含める | 汚染されたモデルが意図的にデータを外部送信 |
| LLM03 | サプライチェーン脆弱性 | 外部コンポーネントの汚染 | 本記事の主題。前年5位から3位に上昇 |
| LLM04 | データおよびモデルの汚染 | 学習データ・モデルの改ざん | サプライチェーン攻撃の主要手法 |
| LLM05 | 不適切な出力処理 | AIの出力を無検証で使用 | 汚染されたモデルの出力をそのまま信頼するリスク |
| LLM06 | 過剰な権限付与 | AIに不必要な権限を与える | プラグインへの過剰な権限が攻撃経路になる |
注目すべきは、サプライチェーン脆弱性(LLM03)が前年の5位から3位に上昇していることです。これは、2024〜2025年にかけて実際の被害事例が増加し、脅威の深刻さが広く認識されるようになったことを反映しています。
また、上位6項目のうち、サプライチェーン攻撃と直接的・間接的に関連するリスクが複数含まれている点にも注目してください。サプライチェーンの安全性を確保することは、AIセキュリティ全体の基盤を固めることにつながります。
よくある質問(Q&A)
Q1. ChatGPTやClaudeのような大手サービスを使っていれば安全ですか?
大手ベンダーのサービスは、基盤モデル自体のセキュリティは高い水準にあります。しかし、プラグインやGPTs、MCP連携など、サードパーティが提供する拡張機能を利用する場合は、その部分のリスクは利用者側で評価する必要があります。「大手だから安心」ではなく、「どの機能を、どの範囲で使うか」を意識することが重要です。
Q2. オープンソースのAIモデルは危険なのですか?
オープンソース自体が危険なわけではありません。コードが公開されているため、むしろ多くの目で検証される利点があります。危険なのは、検証せずに利用することです。モデルカードの確認、セキュリティスキャン(Hugging Faceの安全性表示など)の確認、信頼できる提供元かどうかの確認を怠らないようにしましょう。
Q3. 技術的な知識がなくても対策できますか?
はい。本記事で紹介した「5つのチェックポイント」と「5つのルール」は、いずれもセキュリティの専門知識なしで実践できるものです。最も重要なのは、「信頼できるベンダーの公式サービスを使う」「不要なプラグインを入れない」「使っているAIツールの一覧を管理する」という基本を徹底することです。
Q4. すでにAIツールを導入済みですが、今から対策しても間に合いますか?
もちろん間に合います。まずは「AI導入台帳」を作成し、現在使用しているツール・プラグインの棚卸しから始めてください。不要なプラグインの削除、権限設定の見直し、ベンダーのセキュリティポリシーの確認——これらは今日からできる対策です。
Q5. AIサプライチェーン攻撃と従来のサイバー攻撃の違いは?
従来のサイバー攻撃(マルウェア、フィッシングなど)は、攻撃を受けた時点で異常が検知しやすい傾向があります。一方、AIサプライチェーン攻撃は、正常に動作しているように見えるまま被害が進行するのが最大の特徴です。モデルの出力が微妙に偏っていたり、特定の条件でだけ誤った情報を返すといった「静かな攻撃」が可能なため、発見が遅れやすいのです。
まとめ——「ツールを選ぶ目」がセキュリティの第一歩
AIサプライチェーン攻撃は、「AIツールを使う側」にとっても無視できないリスクです。しかし、必要以上に恐れることはありません。本記事で解説した対策の多くは、セキュリティの専門家でなくても今日から実践できるものです。
最後に、3つの要点を確認しましょう。
1. 「ツールそのもの」を疑う視点を持つ。プロンプトの安全性だけでなく、ツールの出所・構成要素・プラグインの安全性にも目を向けましょう。
2. チェックリストで「見える化」する。ベンダーの透明性、モデルカード、プラグイン審査、SBOM、アップデート体制——この5項目をツール選定時に確認するだけで、リスクは大幅に下がります。
3. 「管理する仕組み」を作る。AI導入台帳の作成、定期的な棚卸し、野良AI禁止のルール化——組織としてAIを管理する仕組みを整えましょう。
AIは中小企業にとって強力な武器です。その武器を安全に使うために、「AIツールを選ぶ目」を持つこと——これが、サプライチェーン時代のセキュリティリテラシーです。
参考リンク
- OWASP「Top 10 for Large Language Model Applications 2025」
- IBM「2026 X-Force Threat Intelligence Index」
- Protect AI × Hugging Face「4M Models Scanned: 6 Months In」
- ReversingLabs「2026 Software Supply Chain Security Report」
- 【2026年版】AIセキュリティ入門|初心者・企業が今すぐ知るべきリスクと対策(関連記事)
免責事項:本記事は2026年3月時点の公開情報に基づく情報提供であり、法的・技術的アドバイスではありません。具体的なセキュリティ対策については専門家にご相談ください。AIセキュリティに関する脅威・脆弱性・対策は急速に変化しているため、最新情報は各公式ソースで確認してください。
コメント