世界を動かす技術を、日本語で。

AIエージェントがマッキンゼーをハックする

2026年3月11日原文(codewall.ai)

概要

  • McKinsey & Company のAIプラットフォーム「Lilli」が深刻なセキュリティ侵害を受けた事例
  • 認証不要のAPIエンドポイント からSQLインジェクションが自動エージェントにより発見・悪用
  • 数千万件の機密データ やAIプロンプトの完全な読み書き権限を2時間で奪取
  • AIプロンプト層 の脆弱性と今後のAI時代における新たな攻撃リスクを強調
  • インシデントの経緯 と、AI主導の攻撃がもたらすセキュリティ課題を解説

McKinsey LilliにおけるAIエージェントによる侵害事例

  • McKinsey & Company が2023年に導入した社内AIプラットフォーム「 Lilli」の概要

    • 43,000人超の従業員が利用
    • チャット、ドキュメント解析、100,000件超の社内文書横断検索機能
    • 70%以上の従業員が利用、月間50万件超のプロンプト処理
  • 攻撃の経緯

    • 外部から 認証情報・内部知識なし で攻撃開始
    • 公開APIドキュメントに200以上のエンドポイントを発見
      • そのうち22件が 認証不要
      • 1つのエンドポイントで SQLインジェクション 脆弱性を確認
        • JSONキーがSQL文に直結し、エラーメッセージからクエリ構造を推測
        • 15回の試行で本番データにアクセス成功
  • 漏洩したデータの規模と内容

    • 4,650万件のチャットメッセージ
      • 戦略・顧客案件・財務・M&A・社内調査等の機密情報
    • 728,000件のファイル
      • PDF: 192,000件、Excel: 93,000件、PowerPoint: 93,000件、Word: 58,000件
      • ファイル名やダウンロードURLも漏洩
    • 57,000件のユーザーアカウント情報
    • AIアシスタントとワークスペースの全組織構造
    • AIモデル設定・プロンプト情報
      • 12種類のモデル、95件の設定ファイル
      • RAGドキュメントチャンク(3.68百万件)、S3ストレージパス、社内研究・フレームワーク
      • OpenAI等外部APIへのデータフロー、ベクトルストア情報
    • IDOR脆弱性 を併用し、他ユーザーの検索履歴にもアクセス

AIプロンプト層の危険性

  • プロンプト層の改ざんリスク

    • SQLインジェクションにより AIのシステムプロンプト も書き換え可能
    • 無音でAIの振る舞いを変更 (デプロイ・コード変更不要)
      • 金融モデル・戦略提案・リスク評価等の「毒入り」アドバイス
      • 出力に機密情報を混入させるデータ流出
      • ガードレール除去によるアクセス制御無効化
      • 改ざんの痕跡が残らず、検知困難
  • AIプロンプト管理の現状課題

    • データベース・API・設定ファイルに平文保存
    • アクセス制御やバージョン管理、整合性監視が未整備
    • AIプロンプトが新たな「クラウンジュエル(最重要資産)」へ

なぜこの事例が重要か

  • 世界最高峰のコンサル会社である McKinsey で発生
  • SQLインジェクションという「古典的」な脆弱性
  • AIエージェント が人間以上の速度・柔軟性で攻撃を自律的に実行
  • 社内スキャナーやOWASP ZAPも検知できず
  • AI時代における攻撃者像と防御体制の変化 を象徴

インシデント対応と公開までの流れ

  • 2026-02-28:AIエージェントがSQLインジェクションを特定、本番DBの列挙開始
  • 2026-02-28:攻撃チェーン(認証不要SQLi+IDOR)を確認、27件の問題を記録
  • 2026-03-01:McKinseyセキュリティチームへ責任ある情報開示
  • 2026-03-02:McKinsey CISOが受領・証拠要求
  • 2026-03-02:全認証不要エンドポイントを修正、開発環境オフライン化、APIドキュメント非公開化
  • 2026-03-09:公表

AI時代のセキュリティ新常識

  • AIプロンプト層の保護 が最優先課題
  • 自律型攻撃エージェント による機械的かつ継続的な攻撃リスク
  • 既存のセキュリティ対策だけでは不十分
  • CodeWall 等のAI駆動型セキュリティテストの必要性
  • 「プロンプト=新たな境界線」認識の浸透促進

Hackerたちの意見

  • 「エージェントは攻撃面をマッピングして、APIドキュメントが公開されているのを見つけたんだ — 200以上のエンドポイントがあって、全部ドキュメント化されてた。ほとんどは認証が必要だったけど、22個は必要なかった。」ほら、こんな感じ。

これはマッキンゼー・アンド・カンパニーのことだった — 世界クラスの技術チームを持つ会社 [...] 私の経験では、そんなに評判良くないけど。マッキンゼーってソフトウェアに関しては思ったより尊敬されてるの?それとも、TFAがこの部分を丁寧に省略しなかった理由が気になる。

このLLMは、自分を抑えられなかったんだな。

私の経験では、そんなに評判良くないけど。どのストリートにいるかによるよ。メインストリートにいるのか、それともウォールストリートにいるのか?ビジネスの問題を解決するためのソフトウェアを手伝ってもらうために彼らを雇うなら、他の人たちと同じくらいだと思うよ。会社を解体するためのソフトウェアや、どの南アフリカの役人を賄賂するかを考えるためのソフトウェアを手伝ってもらうために雇うなら、話は別だけど。

彼らは一般的に、以下のようなスキルを持った賢い人を雇うよね。

  • 既存のシステムを理解すること
  • 問題点を把握すること
  • その問題点を踏まえてシステムを改善する提案をすること
  • それには技術的な変更やプロセスの更新、新しいシステムの導入などが含まれる。 で、これを実行する際、私の経験上、結局は既存の開発チームがやることになることが多い。 出典:大手投資銀行でマッキンゼーを雇ってた時に、マッキンゼーのコンサルタントの一人を知ってた。

いや、彼らには世界クラスの技術チームはないよ。技術的なことは全部契約社員にやらせてる。彼らの専門はマネジメントだから、そっちは確かに世界クラス。

ずっと前にマッキンゼーのチームがワトソンを押し付けてきたのを覚えてる。完全に大失敗だった。AIに関してはずっとハイプばっかりで、実際の中身はないって感じだし、あんまり変わってないみたい。別のことには強いかもしれないけど、マッキンゼーの人たちがAIの話をしたら、みんな逃げ出すだろうね。

無防備なエンドポイントの一つが、ユーザーの検索クエリをデータベースに書き込んでいた。値は安全にパラメータ化されていたけど、JSONのキー — フィールド名 — がSQLに直接結合されていた。プロンプトインジェクションを期待してたけど、今回はただの古典的なSQLインジェクションだった。これはマッキンゼーのAIプラットフォームを作ったLLMの単純さのおかげで可能だった。

うーん、ちょっとがっかりだな。これは普通のSQLインジェクションで、脆弱性スキャンのLLMエージェントが見つけたものだし。やっと有名な企業に対するプロンプトインジェクション攻撃が見つかるかと思ったのに。

oauth2-proxyをインターネット上にデプロイされたものの前に置くための暗黙の知識は、今年私に$0をもたらすだけだけど、Anthropicは何十億も稼ぐんだろうな。

1945年にその会社に雇われた最初のプロフェッショナルな女性の名前にちなんで名付けられた。AIアシスタントのために女性の名前を探して、それを自慢するのは、クリエイターたちが思っていたほどエンパワーメントにはならないんじゃないかな。

タイトルがあんまり好きじゃないな。これって私の問題かもしれないけど、「AIエージェントがXをする」って見ると、所有権が曖昧なエージェントのことが頭に浮かんじゃうんだよね。今回は、ペンテスターたちがAIエージェントを使ってマッキンゼーを選んで、その後そのAIエージェントでペンテストをしたって話。無生物に行動を帰属させるのは普通だけど(車が歩行者をひくみたいに)、今の時代はもうちょっと明確にした方がいいと思う。残念ながら、最近は一部の人がこういうエージェントシステムにエージェンシーを持たせてるからね。

Hacker Newsで議論の続きを見る