投稿者: セキュリティ企業「 CodeWall 」は 2026 年 3 月 9 日、マッキンゼーの社内 AI チャットボット「 Lilli 」への侵入に成功したと発表しました。
Lilli は 43,000 人以上の従業員が日常的に使う社内プラットフォームです。コンサルタントはこのツールを通じて社内文書の検索や分析を行い、数十年分の独自調査データを業務に活用しています。 2023 年に運用が始まり、マッキンゼー初の女性プロフェッショナル採用者( 1945 年入社)にちなんで命名されました。
2026 年 2 月 28 日、 CodeWall の AI エージェントはシステムの構造を自動的に調べ上げ、外部に公開されていた 200 以上の接続口のうち 22 件がパスワードなしでアクセスできる状態であることを発見しました。そこを起点に古典的な手口である「 SQL インジェクション」と呼ばれる攻撃を実行し、わずか 2 時間でデータベース全体の閲覧・書き換えが可能な状態に達しました。かかったコストは 20 ドル(約 3,000 円)分のシステム利用料のみだったと、創設者の Paul Price 氏は語っています。
危険にさらされたデータの規模は相当なものです。戦略や M&A 、クライアント対応に関する 4,650 万件のチャット履歴(暗号化なし)、機密情報を含む 72 万 8,000 件のファイル、 57,000 件の従業員アカウント情報、そして AI の応答方針を定めた 95 件の内部設定がすべて読み取れる状態にありました。
見落とされがちな点ですが、書き換えができたことがさらに重大です。 AI の応答方針を定めたこれらの設定を密かに書き換えれば、コンサルタントに意図的に誤った財務分析や戦略提言を提供することが理論上できてしまいます。しかも変更の記録がログに残らないため、誰かが気づく頃には手遅れになりかねません。
CodeWall から翌 3 月 1 日に通知を受けたマッキンゼーは、 3 月 2 日中に認証なしでアクセスできた箇所を修正し、開発環境の切り離しと外部向け資料の非公開化を完了しました。同社は「調査の結果、クライアントデータへの不正アクセスの証拠は確認されなかった」と声明を出しています。
今回使われた攻撃手法は、セキュリティの世界では 20 年以上前から知られている基本的なものです。 Lilli が本番稼働して 2 年以上経過していたにもかかわらず、社内の自動チェックでは発見できませんでした。人間の担当者がリストに従って確認するのとは異なり、 AI エージェントは人間をはるかに超えるスピードで複数の侵入経路を同時並行で試し続けます。その点が見落としの原因だったと CodeWall は指摘しています。
マッキンゼーは AI アドバイザリーを主力事業の一つとして打ち出してきた企業です。そのような会社がセキュリティの基本的な備えで失敗したという事実は、業界全体への警鐘といえます。 Gartner は 2026 年末までに企業システムの 40 % が AI と連携する見通しを示しており、大量のデータを扱う AI ツールのアクセス管理をどう設計するかが、今後の重要な経営課題になりそうです。