- メモリポイズニングとは、AIエージェントの長期記憶に偽の情報を紛れ込ませ、後の対話で誤った判断をさせる攻撃のことだ。
- 怖いのは、特別な権限がなくても普通にチャットするだけで仕込めてしまう点にある。攻撃者は一発で成功させる必要がなく、じわじわとAIの振る舞いを歪められる。
- 一度きりで終わる攻撃と違い、汚染された記憶はセッションが切り替わっても残り続ける。つまり自分の知らない過去の一言が、明日のAIの回答を狂わせるかもしれないと覚えておけばいい。
この執事ロボットの失敗は、永続メモリを持つAIエージェントで現実に起こりうる被害の縮図です。コマ①の几帳面さは、利用者ごとに好みを覚えて応対を最適化するという便利さそのものを表しています。ところが記憶が便利であるほど、そこに嘘を書き込まれたときの被害も大きくなります。
コマ②で客が一行を書き足す動作こそ攻撃の本質でしょう。派手な侵入も管理者権限も使わず、通常のやり取りの中に有害な一文を残すだけで成立します。しかもコマ③のように、汚染は書き込んだ瞬間ではなく後日の別の場面で発動するため、原因と結果が時間的に切り離され、追跡が難しくなるのです。
実務では、金庫の鍵を渡す前に本人確認をやり直すのと同じ発想が求められます。記憶を無条件に信じず、書き込む時と取り出す時の両方で検証をかける多層防御が有効です。記憶は真実ではなく候補情報として扱う、この一手間がAIエージェントの信頼性を左右します。
なぜメモリポイズニングが2026年に警戒されるのか?
メモリポイズニングが警戒される理由は、AIエージェントの使い方が2026年に大きく変わったことにあります。従来のチャットボットは会話が終われば記憶を捨てていました。ところが今のエージェントは、利用者の好みや過去のやり取りを長期記憶として保持し、次回以降の判断材料にします。Microsoftの解説によれば、この永続メモリは単なる保管庫ではなく、ツールの選択や拒否の挙動を左右する制御レイヤーとして働きます。だからこそ、そこに嘘が一行混じるだけで、攻撃者は一回のプロンプトで勝負を決める必要がなくなり、時間をかけてAIの振る舞いを形づくれてしまうのです。
もう一つ実務で効くのが、記憶を取り出す瞬間を意思決定のポイントとして扱う考え方です。保存済みのメモリを鵜呑みにせず、取り出すたびに関連性や鮮度を確かめ、それがシステム命令を上書きしないよう線を引きます。Microsoftはあわせて、作成から削除までの全操作を来歴付きで記録するよう求めています。汚染がいつどこから広がったかを後から追えるようにしておくことが、被害範囲を狭める近道になります。
メモリポイズニングのよくある誤解
プロンプトインジェクションと同じものだと思っている
この2つは仕組みが近いだけに混同されがちですが、影響の残り方がまったく違います。プロンプトインジェクションは基本的にその場のやり取りを乗っ取る一過性の攻撃です。対してメモリポイズニングは、汚染した情報を長期記憶へ書き残し、後のセッションでも繰り返し悪影響を及ぼします。言い換えれば、瞬間の攻撃を永続の攻撃へと変質させたものと捉えると理解しやすいでしょう。
管理者権限がなければ実行できないと考えている
高度な侵入技術が必要だという見方は正確ではありません。国内メディアAIDBが2026年3月6日に公開した解説では、特別な権限は不要で、普通にチャットボットと会話するだけで実行できてしまうと指摘されています。攻撃対象領域がシステムの深部ではなく、日常の入力欄そのものにある。ここがメモリポイズニングの厄介さです。
出力をフィルタリングすれば防げると期待している
回答をチェックするだけで安心できるでしょうか。実際には、汚染は記憶を書き込む段階で仕込まれ、発動は後日の別文脈で起きるため、出口だけを見張っても取りこぼします。書き込み時のゲートと、取り出し時の再評価という二段構えがそろって初めて実効性が生まれます。単層の対策では守り切れないという前提に立つことが大切です。
会話での使われ方

エージェントに記憶を持たせるとメモリポイズニングのリスクが出てくるから、そこは頭に入れておいて。要は、昔の会話に仕込まれた嘘が今日の回答を狂わせるってことね。
社内の勉強会で、先輩エンジニアが新人にAIエージェント開発の注意点を雑談まじりに共有している場面です。

今回のAIアシスタント導入では、メモリポイズニング対策として書き込み時の本人確認と記憶のログ保持をセットでご提案します。運用後の追跡性まで含めて設計しておくと安心です。
ベンダーの担当者が、クライアント企業の情報システム部門に対してAI導入の設計方針を提案している商談の一幕です。

ボットが急に変な案内を返すようになったの、もしかしてメモリポイズニングかな?記憶をいったん洗い出して確認したいんだけど。
運用中のチャットボットに不審な挙動が出たことを、同僚同士がSlackで相談・報告し合っている場面です。
メモリポイズニングとプロンプトインジェクションの違い
メモリポイズニングとプロンプトインジェクションは、どちらもAIへの入力を悪用する攻撃であるため混同されがちです。両者を分ける最大のポイントは、悪影響がその場限りか、記憶に残って持続するかにあります。
| 比較観点 | メモリポイズニング | プロンプトインジェクション |
|---|---|---|
| 影響の持続性 | 長期記憶に残り、後のセッションでも繰り返し発動する | 原則としてその場のやり取り限りで完結する |
| 攻撃の仕込み方 | 通常の会話で記憶へ有害な情報を書き込む | その場のプロンプトに不正な指示を紛れ込ませる |
| 影響が出る時点 | 書き込みとは別の日時・文脈で遅れて現れやすい | その指示を処理した直後に現れる |
【まとめ】メモリポイズニングの3つのポイント
- AIの記憶に嘘を仕込む攻撃:メモ帳に偽の一行を書き足すように、長期記憶へ有害な情報を紛れ込ませる手口です。
- 権限不要で持続するから怖い:普通の会話だけで仕込め、汚染がセッションをまたいで残るため被害の追跡が難しくなります。
- 書き込みと取り出しの両方を守る:入口のゲートと出口の再評価をそろえ、記憶を候補情報として扱う多層防御を意識しましょう。
よくある質問
-
Qメモリポイズニングは具体的に何が危険なのですか?
-
A
最大の危険は、汚染された記憶が原因と結果を時間的に切り離してしまう点です。書き込まれた嘘は後日の別の会話で発動するため、被害が出ても原因の一言を特定しづらく、対応が後手に回りやすくなります。Microsoftも一時的な脅威が永続的な脅威に変わると警告しています。
-
Qメモリポイズニングは個人の利用でも被害に遭いますか?
-
A
記憶機能を持つAIを使っていれば、個人利用でも無関係ではありません。攻撃は特別な権限を必要とせず通常の会話で成立するため、共有アカウントや外部データを取り込む使い方では特に注意が必要です。心配な場合は、AIが保存した記憶を定期的に見直し、不審な項目を削除する習慣が有効な自衛策になります。
-
QRAGを使ったチャットボットもメモリポイズニングの対象になりますか?
-
A
外部の知識を検索してAIに渡すRAG構成は、まさに狙われやすい形の一つです。参照元の文書やナレッジベースに悪意ある情報が混入すれば、それが記憶として引き出され誤った回答につながります。取り込むデータの信頼性を検証し、取り出し時にも安全性を再評価する仕組みが欠かせません。
-
Qメモリポイズニングとプロンプトインジェクションとの違いは何ですか?
-
A
影響が持続するかどうかが決定的な違いです。プロンプトインジェクションはその場のやり取りを乗っ取る一過性の攻撃であるのに対し、メモリポイズニングは有害な情報を長期記憶に残し、後のセッションでも繰り返し悪影響を及ぼします。前者を永続化させたものが後者だと理解するとわかりやすいでしょう。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| プロンプトインジェクション | 最も混同されやすい隣接攻撃で、両者の違いを知ると理解が深まります |
| ハルシネーション | 汚染された記憶がAIの誤った断定を生む点で密接に関わります |
| LLM | メモリを使って応答するAIの頭脳そのものであり攻撃の前提となります |
| ゼロトラスト | 記憶を無条件に信頼しない対策設計の土台となる考え方です |
| アドレスポイズニング | 同じく汚染を意味するポイズニング型攻撃で発想の共通点があります |
【出典】参考URL
https://learn.microsoft.com/ja-jp/security/zero-trust/sfi/manage-agentic-memory-safety :永続メモリによる脅威モデルの変化、メモリポイズニング/持続的XPIAへの対策(ゲート書き込み・アーキテクチャ上の分離・取得時の再評価・ライフサイクル監視)の根拠。2026年6月3日更新。
https://ai-data-base.com/archives/103657 :メモリポイズニングの定義、および特別な権限が不要で通常のチャットで実行できてしまう点の根拠。2026年3月6日公開。

コメント