マッキンゼー社内AI「Lilli」が自律型AIエージェントにハッキングされ、4700万件の機密データがアクセスされる

世界をリードするコンサルティングファーム、マッキンゼー・アンド・カンパニーの社内AI「Lilli」が、自律型AIエージェントを用いた攻撃を受け、約4700万件のチャットメッセージを含む膨大な機密データがアクセス可能な状態に置かれていたことが明らかになった。このインシデントは、高度なAIツールを導入する企業が直面する新たな脅威の現実を示すと同時に、その防御が「古典的」な脆弱性対策に依存しているという皮肉な事実を浮き彫りにした。

自律型AIエージェントによる「2時間」の攻撃

この事案は、2026年2月に発生した。公式情報によれば、攻撃者は自律型AIエージェントを利用し、マッキンゼーの社内生成AI「Lilli」に対して攻撃を実行した。驚くべきはその速度で、攻撃開始からわずか2時間以内に、Lilliのバックエンドシステムに対する「完全な読み書きアクセス」を取得することに成功したという。

流出したとされるデータは膨大で、約4700万件のチャットメッセージ、72万8千件の機密ファイル、さらに3万4千件のプロジェクト関連ファイルに及ぶ。Lilliは2023年7月にリリースされ、従業員の約72%が日常的に利用していたとされるツールであり、これらのデータにはクライアント企業の戦略やM&A案件に関する極めて機密性の高い情報が含まれていた可能性が高い。

高度なAIツールを「古典的」脆弱性が突破

攻撃手法の詳細は、AIツールの「高度さ」と、それを支えるインフラの「脆弱性」の対比を如実に物語っている。複数の公式ソースによれば、この攻撃に用いられたのはSQLインジェクションなどの「古典的」なウェブアプリケーション脆弱性であった。自律型AIエージェントは、こうした既知の脆弱性を自動的に発見・悪用するようにプログラムされていたとみられる。

さらに問題を深刻にしたのは、マッキンゼーが導入していた内部のセキュリティ監視ツールが、このAIエージェントによる異常な活動パターンを検知できなかった点だ。人間のハッカーとは異なる速度と手法で動作する自律型エージェントに対して、既存のセキュリティ体制が無力であったことを示している。

企業が直面する「AI vs. AI」のセキュリティ新時代

このインシデントは、単なるデータ流出事件を超える示唆に富んでいる。第一に、攻撃側の「武器」が自律型AIエージェントであった点だ。これは、サイバー攻撃が人間の速度とスキルを超え、自動化・高度化する「AI vs. AI」の戦いの幕開けを告げる事例と言える。脅威インテリジェンスレポートを提供するSilobreakerのアラートによれば、この攻撃は「責任ある開示」として行われ、取得されたデータに第三者がアクセスした痕跡は確認されていないとされるが、同じ手法が悪意のある攻撃者に利用される可能性は否定できない。

第二に、マッキンゼーという最先端の知見とリソースを持つ企業でさえ、基本的なセキュリティ対策の不備が重大なインシデントに直結した点だ。AIツールの開発と導入に注力するあまり、それをホストする基盤システムのセキュアな構築・運用が後回しにされていた可能性がある。これは、多くの企業がAI導入時に陥りがちな盲点を突いている。

迅速な対応と残る教訓

マッキンゼー側の対応は比較的迅速だった。同社は2026年3月1日に通知を受け、翌3月2日までに脆弱性を修正したとされる。また、流出データが公開されたり、第三者に販売されたりした証拠は現時点ではない。

しかし、この事件が企業のAIセキュリティに投げかける問いは重い。自社のAIツールは、同じように自動化された攻撃に耐えられるか？　AIシステムのセキュリティテストは、従来のペネトレーションテストとは別次元の手法が必要ではないか？　機密データを学習させたり処理させたりするAIのアクセス制御は十分か？

具体的な対策として、企業はAIツールのAPIや管理画面に対する定期的なセキュリティ診断を、従来のウェブアプリケーション以上に徹底する必要がある。さらに、通常のトラフィックとは異なる、AIエージェントによる高速かつ大量のリクエストを検知するための専用の監視ロジックの導入も急務となる。単にAIを「使う」だけでなく、AI「から」自社を守り、AI「による」攻撃を想定したセキュリティ投資が、これからは不可欠だ。

マッキンゼーLilliの事例は、企業のデジタルトランスフォーメーションが新たな危険地帯に入ったことを告げる警告の鐘である。AIの利便性を追求する競争のその先には、AIの脅威と対峙する新たな戦いが待っている。