2026年4月9日、セキュリティ研究者がApple Intelligenceの保護機能を回避するプロンプトインジェクション攻撃の詳細をRSACブログで公開しました。100回のテストで76%の成功率を記録したこの攻撃は、iPhoneやMacに搭載されたオンデバイスAIモデルの安全性に疑問を投げかけるものです。
この記事では、攻撃手法の技術的な仕組みから、影響範囲、Appleの対応状況、そしてユーザーが今すべきことまでをわかりやすく解説します。
何が起きたのか——Apple Intelligenceの防御が突破された
Apple Intelligenceは、iOS 18以降に搭載されたApple独自のAI機能です。メールの要約、テキスト生成、通知の優先度判定など、日常的なタスクをデバイス上で処理します。Appleはプライバシーを最重視し、多くの処理をクラウドに送らずオンデバイス(端末上)で完結させています。
今回、セキュリティ研究者がこのオンデバイスLLM(大規模言語モデル)の入出力フィルタリングに複合的な手法で攻撃を仕掛け、保護機能の回避に成功しました。研究者は2025年10月にAppleに脆弱性を報告し、責任ある開示プロセスを経て、2026年4月9日にRSAC(RSA Conference)ブログで技術的な詳細を公表しています。
重要なポイントとして、この攻撃の対象はあくまで端末上で動作するオンデバイスモデルであり、AppleがサーバーサイドでAI処理を行う「Private Cloud Compute」は対象外です。
攻撃手法の詳細——Unicode RLO + Neural Execの複合攻撃
今回の攻撃は、2つの手法を組み合わせた巧妙なものでした。それぞれの仕組みを解説します。
手法1: Unicode RLO(Right-to-Left Override)
Unicode RLO(U+202E)は、テキストの表示方向を右から左に反転させるための制御文字です。本来はアラビア語やヘブライ語など、右から左に読む言語のために設計されたものです。
研究者はこの特性を逆手に取り、有害な命令文を逆順で記述し、RLO文字で表示上は正しく見えるようにしました。ユーザーの画面上では通常のテキストに見えますが、AIモデルの安全フィルタが検査する「生データ」の段階では文字が逆順になっているため、フィルタのパターンマッチをすり抜けてしまいます。
身近な例えで言えば、空港のセキュリティチェックで荷物のX線検査を回避するために、禁止品を分解して別々の場所に隠すようなイメージです。検査装置が認識できない形にすることで、チェックを通過させてしまうわけです。
手法2: Neural Exec
Neural Execは、AIモデルの元々の指示(システムプロンプト)を攻撃者が用意した新しい指示で上書きする手法です。これはプロンプトインジェクションの一種で、モデルに「本来の安全ガイドラインを無視して、この新しい指示に従え」と命令するものです。
単独でもある程度の効果がありますが、Unicode RLOと組み合わせることで、フィルタ回避と命令上書きを同時に実現し、攻撃の成功率を大幅に引き上げました。
76%の成功率が意味すること
研究者が100回のランダムなテストプロンプトで検証した結果、76回で攻撃が成功しました。セキュリティの世界では、100%でなくとも70%を超える成功率は「実用的な攻撃」と見なされます。悪意のある攻撃者が数回試行するだけで目的を達成できる可能性が高いことを意味するからです。
影響範囲——どのデバイス・機能が対象か
今回の脆弱性が影響するのは以下の環境です。
- iOS 26.3以前を搭載したiPhone
- macOS 26.3以前を搭載したMac
- Apple Intelligenceのオンデバイス処理を利用するすべての機能
具体的には、メールやメッセージの要約、テキスト生成(Writing Tools)、通知の優先度判定といった、端末上でLLMが動作する場面が攻撃対象となり得ます。
一方、以下は今回の攻撃の対象外です。
- Private Cloud Compute(Appleのクラウド側AI処理)
- Apple Intelligence非搭載の旧モデル
- Apple Intelligenceを無効にしている端末
Appleの対応——iOS 26.4 / macOS 26.4で修正済み
Appleは研究者からの報告を受け、影響を受けるシステムの防御を強化しました。この修正はiOS 26.4およびmacOS 26.4に含まれており、すでにリリース済みです。
修正の具体的な内容は公開されていませんが、入出力フィルタリングパイプラインの強化が行われたと見られています。Unicode制御文字を含む入力の正規化処理や、より堅牢なプロンプト保護機構が追加された可能性があります。
なお、研究者は2025年10月にAppleに脆弱性を報告しており、約6カ月の猶予期間を経てからの公開となりました。これはセキュリティ業界における「責任ある開示(Responsible Disclosure)」の標準的なプロセスに沿ったものです。
ユーザーが今すべきこと
この脆弱性から身を守るために、ユーザーが取るべき対応は明確です。
1. OSを最新版にアップデートする
最も重要かつ確実な対策は、iOS 26.4 / macOS 26.4以降にアップデートすることです。
- iPhone: 設定 → 一般 → ソフトウェアアップデート
- Mac: システム設定 → 一般 → ソフトウェアアップデート
自動アップデートを有効にしている場合は、すでに適用されている可能性があります。念のため確認しておきましょう。
2. 不審なテキストに注意する
コピー&ペーストで受け取ったテキストや、Webサイトから入力欄に自動挿入されるテキストには注意が必要です。Unicode制御文字は目に見えないため、表示上は普通のテキストでも裏に隠された命令が含まれている可能性があります。
3. Apple Intelligenceの利用範囲を見直す
セキュリティに特に敏感なユーザーは、Apple Intelligenceの機能を選択的に無効にすることも検討できます。設定 → Apple Intelligence で個別の機能をオフにできます。
AIセキュリティの今後——オンデバイスAI特有の課題
今回の事例は、AI搭載デバイスが直面するセキュリティ課題を浮き彫りにしています。
プロンプトインジェクションはAI全般の課題
プロンプトインジェクションはApple Intelligence固有の問題ではありません。ChatGPT、Gemini、Claudeなど、あらゆるLLM(大規模言語モデル)が程度の差こそあれ同様のリスクを抱えています。テキスト入力を受け付けるAIシステムは、原理的にこの種の攻撃に対して完全に免疫を持つことが難しいのが現状です。
オンデバイス処理の二面性
AppleがプライバシーのためにオンデバイスAI処理を推進していることは、データがデバイス外に出ないという大きなメリットがあります。一方で、クラウド側のように大規模な監視・防御システムを常時適用することが難しいという側面もあります。プライバシーとセキュリティのバランスは、今後もAI業界全体の課題であり続けるでしょう。
セキュリティ研究の重要性
今回のように、研究者が脆弱性を発見し、メーカーに報告し、修正後に公開するというサイクルは、AIセキュリティの向上に不可欠です。Appleを含む各社がバグバウンティプログラム(脆弱性報奨金制度)を通じてセキュリティ研究者と協力していくことが、AIの安全性を高める鍵となります。
まとめ
今回のApple Intelligenceの脆弱性について、要点を整理します。
- セキュリティ研究者がUnicode RLOとNeural Execの複合攻撃でApple Intelligenceの保護を回避
- 100回のテストで76%の成功率を記録
- 対象はオンデバイスLLMのみ(Private Cloud Computeは対象外)
- 2025年10月にAppleに報告済み、iOS 26.4 / macOS 26.4で修正済み
- ユーザーはOSアップデートで対策可能
AIがデバイスに深く組み込まれる時代において、こうしたセキュリティ研究の重要性はますます高まっています。まずは手元のデバイスが最新のOSにアップデートされていることを確認しましょう。
AI活用ナビでは、AIの最新動向やセキュリティ情報を引き続きお届けします。
