言語を使うマーケティング領域こそ、AI攻撃の格好の対象に

　MCPやA2Aを経由したAI連携には、従来のウイルス感染とは異なる新たなセキュリティーリスクがある。マーケティング上の言語（LLM：大規模言語モデル）を多数増幅させて、人間の心理や、AI自体の判断傾向（いわば“AIの心理”）までも歪めようとする「意図的な操作」として進化しているのだ。

　以下は、非営利団体のOWASPが注意喚起する代表的なパターン例である。

パターン例1：「旅行サイト」のAIエージェント窓口への攻撃

　1つ目は「単独AI型攻撃」。これは、AIに継続的に“偽の問い合わせ”を送り込み、その蓄積によってAIの判断を徐々に歪める手法である。

　たとえば、攻撃者が実在しない旅行チケット情報などを旅行会社のAI窓口に“問い合わせ（偽情報）”として投げ続けると、AIがこれらの偽情報を「多くの問い合わせが寄せられている人気コードかどうか」確認する可能性が発生する。

　攻撃側の狙いは、AIの統計的な判断を少しずつ歪ませ、その偏差を増幅させること。つまり、不正ログインなどの一撃でハッキングするのではなく、一般的な会話を通じて、AIの「確認しなければ」という内部理解そのものを“書き換え（誘導）”ようとする、いわば洗脳的アプローチである。

パターン例2：「ECサイト企業」への複数攻撃

　2つ目は「複数AI型攻撃」。このシナリオでは、EC企業において複数のAI（在庫確認AI＋物流管理AI＋最適価格設定AI＋カスタマー管理AI＋支払財務AIなど）が相互に接続されている環境を想定する。

　このAI環境に、攻撃者（消費者＆セラーの両方）が偽装した商品番号を使って、在庫確認や発送状況の問い合わせなどの偽リクエストを大量に送ったとしよう。さらに同一の商品に対して、セラー側から「競合他社が50％オフセールを始めたので価格を下げるべきだ」、消費者側から「この価格は不当だ」といった具合に、要求や苦情が違う経路から同時に寄せられる。この時点で、以下のようなエラーが伝播していく。

　攻撃者が注入した偽情報がトリガーとなり、AI同士の「信頼ネットワーク」を介して、誤った指令が部門を横断して伝播していくわけだ。この過程で、攻撃者は企業内部の制御情報を抜き取ることすら可能となる。しかも、システム上は“正常に稼働しているように見える（Invisible Attack）”ため、感染や異常の自覚がないまま事態が進行する点が厄介だ。

　さらに悩ましいのが、AIの確認・承認プロセスに人間が誤った介在を入れてしまう場合だ。AIを信頼しすぎた人間がルーチン的に安易な承認ボタンを押してしまう「同意疲れ（Consent Fatigue）」があり得る。

　人間のワンクリックで承認済の学習情報が発生し、AIの相互接続によってその誤情報が連鎖・伝播していく。この無意識なワンクリックで単一システムよりも侵入経路が格段に増え、内部情報の漏洩だけでなく、社会インフラ全体にまで影響を及ぼす可能性もある。企業のAI倫理の強化が必要な理由がわかるだろう。

　「人間による監視・介入」というサイバーセキュリティにおける「最後の砦」だったはずのものが、AIの自律化によって、かえって脆弱性を生むリスクとなり得る。そしてそのリスク（ガバナンス）は、AI→人間→AIという信頼のループで増幅していく。