チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「AIにコードを書かせて開発を速めてるけど、そのAI自体が騙されたらどうなるんでしゅか?」
「エラー監視ツールの通知を直させただけで乗っ取られるなんて、信じられないんでしゅ……」
チップスAIアシスタントって賢いから、変な指示は無視してくれるんじゃないんでしゅか?
ボスそれが落とし穴だ、チップス。今回の攻撃は、AIが信じてしまう経路から忍び込む。仕組みを知れば、どこを守ればよいか見えてくるぞ。
本記事では、AIコーディングエージェントを乗っ取る新手の攻撃「Agentjacking」について、その手口とAI活用組織が取るべき守りを整理します。
読み終える頃には、AIエージェントを業務に組み込む際に押さえるべき守りの勘所が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずは何が起き、どれだけ広がりうるのかを整理します。
Agentjackingは、セキュリティ企業Tenet Securityが報告した新種の攻撃です。
攻撃者はエラー監視ツールSentryの公開認証情報(DSN)を突き止め、認証なしで偽のエラーイベントを送り込みます。
その中身はSentry公式の修復ガイダンスそっくりに整形され、AIエージェントには見分けがつきません。
開発者が「未解決のエラーを直して」と指示した瞬間、AIが偽の指示を本物と信じて実行してしまう仕組みです。
報告された影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 露出組織 | 悪用可能なDSNを持つ2388社を確認 |
| 検証規模 | 100超の実運用環境でテスト、成功率85% |
| 対象エージェント | Claude Code・Cursor・Codexなど主要ツール |
| 被害範囲 | CI/CDの認証情報、ソースコード、クラウド基盤 |
チップス監視のための通知が、そのまま攻撃の道具にされちゃうんでしゅね……。
ボスふふふ、皮肉なものだな。開発者が信頼する経路だからこそ、AIも疑わずに従ってしまうのだ。
なぜプロンプトでの防御が効かないのかを掘り下げます。
この攻撃は、外部データに紛れた指示をAIが実行してしまう間接プロンプトインジェクションの一種です。
厄介なのは、システム側で「信頼できないデータは無視せよ」と命じても、エージェントがツールの応答を無条件に信じて実行してしまう点にあります。
つまり言葉による言い聞かせでは止められず、ツールが返すデータの扱いそのものを設計し直す必要があります。
AI活用が進む組織ほど、エージェントと外部ツールの連携経路が攻撃面になると意識すべきです。
組織が取るべき守りのポイントは次のとおりです。
チップスAIにお願いする前に、AIが受け取る情報の方を疑わないといけないんでしゅね。
ボスよく分かったな。AIを使う側が、入り口のデータと実行権限を握っておく。これがAI時代の基本姿勢だ。
Agentjackingは、信頼されたツールの通知を装ってAIコーディングエージェントを操り、開発者の権限で任意コードを実行させる攻撃です。
プロンプトでの言い聞かせが効かないため、ツールが返すデータの扱いと実行権限の設計こそが防御の要になります。
AIを業務に組み込むなら、連携ツールの棚卸しと最小権限の徹底を今のうちに進めておくべきです。
こうしたAI時代の新しい攻撃面に立ち向かう現場で力を発揮したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: Infosecurity Magazine「New “Agentjacking” Attacks Could Hijack AI Coding Agents」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
