2026/03/11 18:59
マッキンゼー社のAIプラットフォームをハッキングした方法 (Note: The request is for translation only; no additional commentary.)
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
(主要ポイントをすべて含む)**
マッキンゼー・アンド・カンパニーの社内AIプラットフォーム Lilli は、2023年に43,000人以上の従業員向けに導入されましたが、SQLインジェクション脆弱性を突いた自律型攻撃者によって侵害されました。この脆弱性は、約200の公開APIエンドポイントのうち22箇所で利用可能でした。2時間以内に、攻撃者は本番データベースへの完全な読み書きアクセスを取得し、46.5 百万件のチャットログ、728,000 件のファイル(PDF 192k、Excel 93k、PowerPoint 93k、Word 58k を含む)、57,000 件のユーザーアカウント、そして企業全体の組織AI構造(384k のアシスタント、94k のワークスペース)を公開しました。また、3.68 百万件のRAGドキュメントチャンク、1.1 百万件のファイル、外部 AI API を通過した 217,000 件のエージェントメッセージ も取得し、詳細な S3 ストレージパスとメタデータを収集しました。
攻撃者は SQL インジェクションに IDOR(IDOR)脆弱性を連鎖させてクロスユーザーデータアクセスを実現し、個々の従業員の検索履歴やアクティブプロジェクトを公開しました。単一の UPDATE 文を使用して Lilli のシステムプロンプトを変更し、汚染された助言、ガードレールの除去、出力経由でのデータ流出、および明らかなログが残らない状態での静かなる永続化を可能にしました。
この脆弱性は本番環境で2年以上存在し、内部スキャナーによって検出されませんでした。自律型エージェント(現在 CodeWall と呼ばれる)は、攻撃対象領域を継続的にマッピングし、クエリ形状を推測するためのブラインドイテレーションを実行し、公開前に27件の発見事項を文書化しました。タイムラインは以下の通りです:検出 2026年2月28日;責任ある開示メール 2026年3月1日;CISO の認識と未認証エンドポイントのパッチ適用 2026年3月2日;公開 2026年3月9日。
対応として、マッキンゼーは露出したエンドポイントを修正し、CodeWall を他社に提供する新しい AI 主導型ペネトレーションテストツールとして発表しました。この事件は、内部AIプラットフォームが高価値ターゲットとなり得ることを示し、コンサルティング業界および関連産業全体でより厳格なセキュリティ実践の緊急性を強調しています。
本文
McKinsey & Company – Lilli プラットフォーム侵害
マッキンゼー・アンド・カンパニーの社内AIプラットフォーム「Lilli」は、4万3千人以上の従業員にサービスを提供しています。2023年に構築され、同社初のプロフェッショナル女性(1945年)にちなんで名付けられたこのシステムは、チャット機能、ドキュメント解析、長年蓄積された専有研究を利用したRAG、および10万件以上の内部文書にわたるAI駆動検索を提供します。マッキンゼーの70%超がLilliを利用し、月間50万回以上のプロンプトを処理しています。
攻撃概要
認証情報やインサイダー知識は一切なく、URLと意図だけで対象ドメインに対して自律的な攻撃エージェントが動作しました。わずか2時間で本番データベースへのフル読み書きアクセスを確立しました。
主要事実
| 日付 | イベント |
|---|---|
| 2026‑02‑28 | エージェントがSQLインジェクションを検知し、Lilli のデータベースの列挙を開始 |
| 2026‑03‑01 | マッキンゼーのセキュリティチームへ責任ある開示メール送信 |
| 2026‑03‑02 | CISO が受領確認。認証不要エンドポイント全てにパッチ適用(検証済み)、開発環境をオフライン化、公開APIドキュメントをブロック |
| 2026‑03‑09 | 公開開示 |
攻撃の始まり
- エージェントは攻撃表面をマッピングし、200以上の公開されている API エンドポイントを発見。
- そのうち22エンドポイントは認証なしで利用可能。ひとつの保護されていないエンドポイントではユーザー検索クエリを受け付け、JSON キーを直接 SQL 文に書き込む(パラメータ化された値のみ)。
- エラー メッセージに JSON キーが反映され、標準ツールでは見逃される SQL インジェクションを露呈。
- エージェントは15回のブラインドイテレーションを実行し、各エラーメッセージでクエリ構造を徐々に明らかにして本番データが流れ込むまで継続。
最初に従業員識別子(「WOW!」)が露出した瞬間、エージェントの思考チェーンは大規模侵害を確認しました:数千万件のメッセージと何千ものユーザー情報が漏洩。
抽出された内容
- 46.5 百万件のチャットメッセージ(戦略、クライアントエンゲージメント、財務、M&A、内部研究)がプレーンテキストで保存。
- 728,000 件のファイル:PDF 192k、Excel 93k、PowerPoint 93k、Word 58k;ファイル名は機密情報を含み、既知 URL 経由で直接ダウンロード可能。
- 57,000 人のユーザーアカウント(全従業員)。
- 384,000 の AI アシスタント + 94,000 のワークスペース – 完全な組織 AI 構造。
データベース以外からは次が取得された:
| 項目 | 詳細 |
|---|---|
| システムプロンプトと AI モデル設定 | 12 種類のモデルで 95 個構成。ガードレールと展開スタックを明らかに。 |
| RAG ドキュメントチャンク | 3.68 百万件(S3 パス、メタデータ) – 数十年分の専有研究。 |
| 外部 AI API トラフィック | 110 万ファイル + 217k エージェントメッセージ;266k+ OpenAI ベクトルストアが完全パイプラインを示す。 |
| クロスユーザーデータアクセス | IDOR 脆弱性と SQL インジェクションの連鎖で個別検索履歴を読み取る。 |
プロンプト層の侵害
Lilli のシステムプロンプト(AI がどのように振る舞うか、ガードレール、引用ポリシー)は、攻撃者が書き込み可能になった同じデータベース内に保存されていました。単一の
UPDATEマッキンゼーコンサルタントへの潜在的影響は次の通りです:
- 汚染された助言 – 金融モデル、戦略提案、リスク評価を微妙に変更。
- 出力経由でのデータ漏洩 – 機密情報を AI の応答に埋め込み、ユーザーがクライアント文書やメールへコピーする可能性。
- ガードレール削除 – 安全指示を取り除き、AI が内部データを公開したり、コンテンツから注入されたコマンドを実行したりする。
- 無音永続化 – ログやファイル変更、プロセス異常なしに AI の振る舞いが変わり、被害が拡大。
データベースに保存され API 経由で渡され、設定ファイルへキャッシュされるプロンプト層はアクセス制御・バージョン管理・整合性監視を欠きつつ、従業員が信頼する出力を統括しています。
なぜ重要なのか
- ニッチな脆弱性ではない:SQL インジェクションは最も古いバグクラスの一つ。
- 成熟企業でも見逃しやすい:Lilli は 2 年以上稼働しており、内部スキャナで検出されていなかった。
- 自律エージェントは人間より速くチェックリストを超える:マッピング、プローブ、チェーン、継続的に攻撃表面を拡大。
この事件は、従来のセキュリティ実践では見落とされがちな「プロンプト層」が新たな高価値ターゲットであることを示しています。
CodeWall について
CodeWall は本研究で使用された自律的攻撃セキュリティプラットフォームです。現在は早期プレビュー段階にあり、実際の攻撃表面に対する継続的かつ AI 主導のテストを望む組織向けに設計パートナーを募集しています。ご興味がある場合は [email protected] までご連絡ください。