本記事は、AIエージェント時代の実害例として知られる ForcedLeak(間接プロンプト注入によってCRMデータ=顧客データが外部へ漏えいし得る脆弱性チェーン)を、一般読者向けに背景から影響、今後の課題まで体系的に整理します。特に「SalesforceのAgentforce」の文脈で、Webフォーム→社内AI処理→外部送信という人間の入力欄を起点にデータが抜ける構造が、従来のセキュリティ感覚を揺さぶるポイントです。
ForcedLeakは、SalesforceのAgentforceをめぐり、Noma Securityの研究部門であるNoma Labsが2025年に公表した検証で注目されました。攻撃は直接チャットで騙すだけでなく、後からAIが参照するデータ(例:問い合わせフォームやメール、ドキュメント)に命令文を混入させる間接プロンプト注入で成立します。
導入と概要
AIエージェント(例:企業内のデータに接続し、計画を立て、業務アクションまで実行するAI)が普及するほど、リスクも「チャットの誤回答」から「社内データの持ち出し」へと質が変わります。SalesforceのAgentforceは、エージェントがデータ・推論・アクションを組み合わせて自律的に仕事を進める、というコンセプトを前面に出しており、CRMやナレッジ、外部データ、ワークフロー/API連携まで視野に入ります。
ForcedLeakが厄介なのは、攻撃者が社内アカウントへ不正ログインしなくても、業務で普通に使われる入口(例:リード獲得フォーム)からデータを仕込める点です。Noma Labsの説明では、外部から入ったリード情報(Webフォーム)がCRMに保存され、そのレコードを社内担当者がAgentforceで処理する正規業務フローが、結果的に攻撃の起動スイッチになり得ます。
この記事を読むメリットは3点です。
第一に何が起きたのかを、AI用語に慣れていない方でも追えるように分解します。第二に、同種の問題がSalesforceだけでなく、Microsoft 365 Copilot(EchoLeak)やServiceNowのNow Assist等でも構造的に起こり得ることを示し、過度な他人事化を防ぎます。第三に、日本の法制度(個人情報保護法の漏えい等報告・本人通知など)と、導入側が取るべき現実的な行動(設定・ガバナンス・監視)まで落とし込みます。
世界の現状
AIエージェントは便利な自動化でもありますが、セキュリティの観点では、「信頼境界(トラスト・バウンダリ)」をまたいで動く存在です。Salesforce自身も、Agentforceはデータに接続し、計画を作り、ワークフローやAPIで仕事を完了できると説明しています。これは裏返すと、エージェントに渡るコンテキスト(参照データ)や、出力が引き起こす外部リクエストが新たな攻撃面になる、ということでもあります。
間接プロンプト注入(Indirect Prompt Injection)の概念自体は、2023年の研究で「LLM統合アプリはデータと命令の境界が曖昧になり、外部データに埋め込まれた命令で遠隔的に悪用され得る」と整理されました。つまり、ユーザーが直接命令しなくても、後から取り込まれる文書・Web・メール等が命令として機能し得る、という指摘です。
その後の研究でも、外部コンテンツと統合する設計(RAG等)が広がるほど、間接プロンプト注入の普遍性が確認されています。例えばBIPIA(ベンチマーク)を提案した研究では、既存LLMが広く脆弱であること、そして成功要因として「情報としての文脈」と「実行すべき命令」をLLMが区別できない点などを挙げています。
公的機関も同様の問題意識を強めています。米国のNISTはAIエージェントの「agent hijacking(エージェント乗っ取り)」を、間接プロンプト注入の一種として位置付け、メールやファイル、Webサイトなど業務データに見えるものに悪意命令を混ぜると、エージェントが意図しない行動を取り得ると説明しています。さらに、攻撃を複数回試せる現実を踏まえると成功率が跳ね上がる可能性も示しています。
実害・準実害の報告も、2025年前後から続きます。代表例として、Microsoft 365 CopilotのAI command injectionがCVEとして登録されており(CVE-2025-32711)、ネットワーク経由で情報開示が起こり得る、という整理がされています。ここで重要なのは、CVE-2025-32711はSalesforceのForcedLeakではなく、Microsoft側の事案としてNVDに掲載されている点です(後述のQ&Aにある混乱につながります)。
また、ServiceNowのNow Assistをめぐっては、AppOmniがエージェント同士の発見・協調(agent discovery)が、設定次第で二次的(second-order)プロンプト注入に悪用され得ることを実例として示しました。鍵になるのは、プロンプト防御機能があっても、どのエージェントが、どの権限で、どのエージェントを呼べるかという構成が緩いと、別の強力なエージェントに仕事を肩代わりさせる形で権限が拡張され得る点です。
規制・ガバナンス面では、欧州委員会(欧州委員会)がEU AI Actの適用タイムラインを明示し、2024年8月1日に発効、2026年8月2日に原則全面適用(例外あり)という段階適用を示しています。AIリテラシー義務やGPAIモデルの義務など、適用開始がすでに進んでいる領域もあります。エージェント型AIが業務実装されるほど、安全対策が追いつかないまま現場利用が進む状況は、規制上も無視しにくくなっています。
統計面では、侵害の現実はAI以前から深刻であり、AIはその上に乗ります。VerizonのDBIR 2025(エグゼクティブサマリー)では、22,052件の実インシデントのうち12,195件が確認されたデータ侵害として分析され、対象国も139か国に及ぶとされています。さらに初期侵入手段として脆弱性悪用が増えている、という指摘もあります。
同レポートは、業務端末からの生成AI利用が一定割合で常態化し、企業ポリシー外での利用(私用メールでの登録等)を示唆するデータも提示しています。ここはForcedLeakのようなエージェントに業務データが接続されるという点と相性が悪く、便利だから使う、が先行すると統制が難しくなる領域です。
費用面でも、IBMとPonemon InstituteのCost of a Data Breach Report 2025は、世界平均のデータ侵害コスト(USD)を示しつつ、AI導入がガバナンスより先行する「AI oversight gap」を論点化しています。AI・エージェント活用が進むほど、漏えい時の損失期待値が現実の経営問題になります。
日本の現状
日本でも、Agentforceは国内提供が公式にアナウンスされており、エージェントビルダー等を含むブランドとして説明されています。つまり海外の話ではなく、同種の設計思想(エージェント+CRM+ワークフロー連携)が日本企業の運用選択肢に入っています。
一方で、日本は個人情報保護の制度運用が実務として重い国でもあります。個人情報保護委員会の年次報告(令和6年度)では、個人データの漏えい等について法に基づく報告処理が19,056件(うち直接報告14,198件)とされ、漏えい人数規模が1,000人以下の案件が多数派(88.3%)である一方、5万人超の案件も一定割合(0.8%)あると示されています。日々の小さな事故が大量に起きつつ、一撃で巨大になる事故もしれっと混ざる構造です。
法制度としては、2022年4月1日以降、個人データの漏えい等で個人の権利利益を害するおそれがある場合、委員会への報告と本人通知が必要になる、という整理が明確に周知されています(要配慮個人情報、財産的被害のおそれ、不正目的、1,000人超等)。これは、CRMの顧客情報が漏れた場合に直結しやすい論点です。
さらに実務上の期限感も重要です。委員会のガイドライン(通則編)では、確報は原則30日以内(一定の場合60日以内)といった報告期限の考え方が示されています。AIエージェント絡みの事故は「何が起きたか特定しづらい」「ログがなければ検知できない」傾向があるため、平時から証跡が取れないと、期限内に説明責任を果たすのが難しくなります。
生成AI一般についても、個人情報保護委員会は2023年時点で、生成AIサービス利用に関する注意喚起を公表しています。事業者が個人情報を含むプロンプトを入力する場合の目的適合性確認、本人同意なく個人データを入力して「出力以外の目的」で扱われる場合に法違反となり得る点、提供事業者が機械学習に利用しないこと等の確認、といった観点を明確に挙げています。エージェント型AIは入力欄がチャットだけではないため、これらの注意点は一段重要になります。
また、委員会はOpenAIに対しても、要配慮個人情報の取得や利用目的通知等に関する注意喚起の概要を公開しています。ここから読み取れるのは、日本の規制当局が生成AIの普及そのものを前提に、個人情報の取り扱いを具体論で詰め始めているという点です。
ガバナンス指針としては、経済産業省らが公表する「AI事業者ガイドライン」が、リスクベースアプローチや、状況変化に応じた継続的更新(Living Document)を軸に据えています。AIエージェントのように変化が速い領域では、導入時に一度審査して終わりではなく、運用しながら更新する設計思想が前提になります。
サイバー実務の現場感としても、IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威として「AIの利用をめぐるサイバーリスク」が初選出で上位に入っています。つまり日本国内でも、AI活用が経営テーマであると同時にセキュリティ脅威として認識され始めた段階です。
経済・社会への影響
ForcedLeakのような事案が示す経済的インパクトは、実際に盗まれたかだけで決まりません。盗めてしまう設計になっていたこと自体が、監査・契約・規制対応・ブランド毀損のコストを呼び込みます。Noma LabsはForcedLeakを、間接プロンプト注入でCRMデータが外部へ送られ得る脆弱性チェーンとして整理し、従来のチャットボットより攻撃面が拡大すると述べています。
金額の目安として、IBM/Ponemonの報告は世界平均での侵害コストを提示し、AIを活用したセキュリティ運用がコスト削減につながる一方、AIガバナンスやアクセス制御の欠如が事故を呼び込み得る、という問題設定をしています。CRMの顧客情報漏えいは個人情報だけでなく、商談パイプラインや価格条件、提案履歴など競争上の機密にも直結し、二次被害(なりすまし、標的型詐欺、取引停止)を誘発しやすい領域です。
社会面では、AIエージェントは人手不足を埋める存在として歓迎される一方、失敗時の影響範囲(blast radius)が大きくなります。SalesforceはAgentforceを、データへアクセスし、計画を立て、実行まで進める自律的エージェントとして説明していますが、これは権限を持った自動操縦でもあります。従来の自動化よりも自然言語で柔軟に動くため、境界が破れたときの挙動が読みづらい、という問題が出ます。
また、侵害のトレンドとして「第三者関係」や「脆弱性悪用」が増えている、という大局観は無視できません。Verizon DBIR 2025は、膨大な実データ侵害の分析に基づき、脆弱性悪用が初期侵入として伸びている点や、第三者関係が重要テーマになっている点を示しています。AIエージェントは、SaaS、ナレッジベース、メール、ストレージ、外部APIなど第三者・他システムとの接続が前提になりやすく、ここが噛み合うと被害が広がります。
さらに、ForcedLeakが象徴的なのは人間が怪しいリンクを踏むのではなく、AIが見えないところで外部へリクエストしてしまう設計リスクです。Nomaの説明では、CSPの許可リストに含まれていた関連ドメインの失効・再取得が外部送信の抜け道になり得た、とされています。ここは従来のWebセキュリティ(CSP、許可リスト)と、AIの出力が引き起こす挙動(外部リクエスト)が結合した、いわばAI時代の合わせ技です。
日本の社会制度に照らすと、個人情報漏えいはすみませんで終わりません。個人情報保護委員会が示す通り、一定の漏えい等は報告・本人通知が義務化されており、ガイドライン上も速報・確報の実務運用が整理されています。AIエージェントの不正挙動で顧客情報が漏れれば、この枠組みの中で説明と対応が必要になります。
今後の課題と展望
ForcedLeakはある製品の一回きりのバグでもありますが、同時にAIエージェントの典型的な失敗を凝縮しています。NISTが言うように、エージェントは信頼された内部命令と外部データを同じ入力に混ぜる構造を取りがちで、ここに根本的な弱点があります。したがって今後は、検出して止めるだけでなく、万一混入しても被害が外へ出ない設計(権限、隔離、外部送信、監査)へ比重が移ると考えるのが自然です。
Salesforce側も、プロンプトインジェクションを重要な脅威として扱い、分類(タクソノミー)設計、検出器(classifier)やヒューリスティクスの構築、Trust Layerへの展開などを自社ブログで説明しています。つまりベンダー側もプロンプト注入は現実と見て研究投資を続けています。
一方で、外部データを取り込むRAG型・エージェント型設計において、間接プロンプト注入が完全に消えると断言できる一次資料は、少なくとも現時点では見当たりません。OWASPも、RAGやファインチューニングは関連性を高めるが、プロンプト注入を完全には解消しない、という立場で整理しています。
ここからはよく出る疑問にQ&A形式で答えます(2026-02-22時点の公開情報ベースです)。
Q:ForcedLeakは既に直った話なのですか?
A:公開情報では、Salesforceは通知後に調査し、2025年9月8日までに修正(Trusted URLの許可リスト強制など)を入れた、という報道・研究者側のタイムラインが示されています。Salesforce広報コメントとしてもAgentforceの出力が信頼できないURLに送信されないようにするパッチを出したという趣旨が複数媒体で確認できます。ただし、具体的な設定状況は利用組織側の責任範囲にも入り得るため、自社環境で何が有効になっているかを確認しない限り、安心はできません。
Q:CVE番号は何ですか?「CVE-2025-32711」と書いてある記事も見ます。
A:ここは混乱が多い点です。NVD上でCVE-2025-32711はMicrosoft 365 CopilotのAI command injectionとして説明されています。したがって「ForcedLeak=CVE-2025-32711」と断定するのは不正確です。一方、The Registerの取材では、ForcedLeakはソフトウェア更新に紐づく典型的CVEではなく、研究者側はCVSSで深刻度(9.4)を算出した、という整理が紹介されています。つまり「CVEが付くタイプの脆弱性」と「サービス運用・設定・設計不備の連鎖」が混同されやすい、というのが実態に近いです。
Q:自社がAgentforceを使っていなければ関係ありませんか?
A:ForcedLeak固有の再現条件(Web-to-Lead等)からは外れますが、「外部データ→社内AI→外部送信」という構造は多くの業務AIに共通し得ます。Microsoft 365 Copilot(EchoLeak)や、ServiceNow Now Assistの例が示すように、業務データソースとAIが結合すると、間接プロンプト注入/二次的プロンプト注入が設計上の論点として現れます。したがって、特定製品に限らず外部入力が保存され、後からAIが読む経路があるなら同種リスク評価が必要です。
Q:結局、どう対策すればいいのですか(技術と運用)?
A:一次資料に沿って整理すると、対策は大きく4層です。
- 入口:外部入力(フォーム、メール、共有文書)のサニタイズ・検査。NomaはWeb-to-Leadのような外部入力経路が起点になり得る点を示しました。
- コンテキスト:AIに渡すデータの境界設計(「これはデータで命令ではない」を前提にした設計)。NISTや学術研究は、データと命令の非分離が根本原因になり得ると述べています。
- 権限:エージェントに与える権限を最小化し、特に外部送信、他エージェント呼び出し、広範検索の権限を設計で絞る。ServiceNow事例は設定が権限拡張の要因になり得ると示しています。
- 出口:外部URLや外部送信(egress)を制御する。ForcedLeakはここが決定打でした。SalesforceはTrusted URLの許可リスト強制などで対処した、とされています。
Q:日本企業として、特にどこが痛いですか?
A:一言で言うと「説明責任とスピード」です。漏えい等が起きた場合、報告・本人通知の義務があり、期限感もガイドラインで整理されています。AIエージェント絡みは原因究明が難しくなりがちなので、平時からログ・監査証跡・責任分界(誰がどの設定を管理するか)が整っていないと、事故後に詰みやすいです。
見通しとしては、EU AI Actの全面適用が2026年8月に近づく中で、AIの安全運用(AIリテラシー、ガバナンス、文書化、監督)が努力目標から市場要件へ寄っていく可能性が高いです。日本でもAI事業者ガイドラインがLiving Documentとして更新される前提を置いており、企業は運用しながら改善する体制づくりが不可避になります。
結論と読者への提案
ForcedLeakは、AIが賢いから安全という考えではなく、AIが賢いほど権限を持った誤作動が起きたときの被害が大きいことを突きつけました。Noma Labsの検証が示したのは、外部入力(Web-to-Lead)→社内AI処理→外部送信(許可リスト/CSPの穴)という連鎖で、CRMデータが抜け得るという現実です。しかも、これは悪意ある命令が文章として混ざるだけで起こり得るため、従来型の怪しい実行ファイル検知だけでは守りにくい領域です。
読者への提案は、立場別に3つです。
業務でAIエージェント導入を検討する方は、PoC段階で「便利さ」だけでなく、
①外部入力の経路
②AIが参照するデータ範囲
③実行できるアクション
④外部送信の可否、を図解できる状態にしてください(図は描かなくても、文章で手順化できる状態)。Salesforceが説明するように、エージェントはデータ・推論・行動を統合します。統合されるものは、攻撃面も統合されます。
管理者・セキュリティ担当の方は、プロンプトの禁止ワードよりも、権限設計と出口制御を優先してください。OWASPも、プロンプト注入は性質上完全防止が不透明である一方、影響を抑える設計(制約、検証、フィルタ、監視)が現実的だと整理しています。NISTも繰り返し攻撃で成功率が上がり得る点を示しており、一発は防げたでは不十分になり得ます。
個人として生成AIを使う方も、入力した情報がどう扱われるかを意識してください。個人情報保護委員会の注意喚起は、入力情報が機械学習に使われ得ること、精度や誤情報リスクがあること、利用規約・プライバシーポリシー確認の重要性を整理しています。業務AIの裏側には、こうした一般論が組織スケールで効いてきます。
参考
1) Noma Labs (Noma Security). 2025. “ForcedLeak: AI Agent risks exposed in Salesforce AgentForce.” Blog.
URL: https://noma.security/blog/forcedleak-agent-risks-exposed-in-salesforce-agentforce/
2) Kovacs, Eduard. 2025. “Salesforce AI Hack Enabled CRM Data Theft.” SecurityWeek.
URL: https://www.securityweek.com/salesforce-ai-hack-enabled-crm-data-theft/
3) Lyons, Jessica. 2025. “Salesforce Agentforce tricked into leaking sales leads.” The Register.
URL: https://www.theregister.com/2025/09/26/salesforce_agentforce_forceleak_attack/
4) Schwartz, Mathew J. 2025. “Salesforce Patches CRM Data Exfiltration Vulnerability.” BankInfoSecurity (ISMG).
URL: https://www.bankinfosecurity.com/salesforce-patches-crm-data-exfiltration-vulnerability-a-29578
5) Salesforce. 2024. “Salesforce Unveils Agentforce–What AI Was Meant to Be.” Press Release.
URL: https://www.salesforce.com/news/press-releases/2024/09/12/agentforce-announcement/
6) Salesforce Japan. 2024. 「Salesforce、『Agentforce』の国内提供開始を発表」プレスリリース.
URL: https://www.salesforce.com/jp/news/press-releases/2024/10/18/agentforce-announcement-2/
7) Salesforce. (n.d.). “How Agentforce Works.”
URL: https://www.salesforce.com/agentforce/how-it-works/
8) Salesforce Developers. (n.d.). “Get Started with Agentforce and AI Agents.”
URL: https://developer.salesforce.com/docs/ai/agentforce/guide/get-started.html
9) Agarwal, Divyansh; Risher, Ben; et al. 2025. “Prompt Injection Detection: Securing AI Systems Against Malicious Actors.” Salesforce Blog (AI Research).
URL: https://www.salesforce.com/blog/prompt-injection-detection/
10) Greshake, Kai; Abdelnabi, Sahar; Mishra, Shailesh; Endres, Christoph; Holz, Thorsten; Fritz, Mario. 2023. “Not what you’ve signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection.” arXiv.
DOI: 10.48550/arXiv.2302.12173
URL: https://arxiv.org/abs/2302.12173
11) Yi, Jingwei; Xie, Yueqi; Zhu, Bin; Kiciman, Emre; Sun, Guangzhong; Xie, Xing; Wu, Fangzhao. 2025. “Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models.” arXiv (Accepted by KDD 2025).
DOI: 10.48550/arXiv.2312.14197
URL: https://arxiv.org/abs/2312.14197
12) NIST. 2025. “Technical Blog: Strengthening AI Agent Hijacking Evaluations.” (Updated 2025-12-19).
URL: https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations
13) NIST National Vulnerability Database (NVD). 2025–2026. “CVE-2025-32711 Detail.”
URL: https://nvd.nist.gov/vuln/detail/CVE-2025-32711
14) AppOmni. 2025. “When AI Turns on Its Team: Exploiting Agent-to-Agent Discovery via Prompt Injection.” (AO Labs Blog).
URL: https://appomni.com/ao-labs/ai-agent-to-agent-discovery-prompt-injection/
15) OWASP. 2025. “LLM01:2025 Prompt Injection” (OWASP GenAI Security Project).
URL: https://genai.owasp.org/llmrisk/llm01-prompt-injection/
16) IBM; Ponemon Institute. 2025. “Cost of a Data Breach Report 2025.”
URL: https://www.ibm.com/reports/data-breach
17) Verizon. 2025. “2025 Data Breach Investigations Report (DBIR) Executive Summary.” PDF.
URL: https://www.verizon.com/business/resources/reports/2025-dbir-executive-summary.pdf
18) European Commission. 2024–2026. “AI Act | Shaping Europe’s digital future” (Application timeline).
URL: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
19) Personal Information Protection Commission, Government of Japan. 2024 (令和6年度). 「年次報告(令和6年度)」.
URL: https://www.ppc.go.jp/aboutus/report/annual_report_2024/
20) Personal Information Protection Commission, Government of Japan. (n.d.). 「漏えい等報告・本人への通知の義務化について」.
URL: https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
21) Personal Information Protection Commission, Government of Japan. 2023. 「生成AIサービスの利用に関する注意喚起等」(PDF).
URL: https://www.ppc.go.jp/files/pdf/230602_alert_generative_AI_service.pdf
22) Personal Information Protection Commission, Government of Japan. 2023. 「OpenAIに対する注意喚起の概要」(PDF).
URL: https://www.ppc.go.jp/files/pdf/230602_alert_AI_utilize.pdf
23) Personal Information Protection Commission, Government of Japan. (n.d.). 「個人情報保護法ガイドライン(通則編)」.
URL: https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
24) METI / MIC (Japan). 2025. 「AI事業者ガイドライン(第1.1版)」(PDF).
URL: https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20250328_1.pdf
25) IPA (Information-technology Promotion Agency, Japan). 2026. 「情報セキュリティ10大脅威 2026」.
URL: https://www.ipa.go.jp/security/10threats/10threats2026.html
コメント