チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「自社で動かしているAIエージェントが、乗っ取られることなんてあるんでしゅか?」
「脆弱性って言われても、どこをどう直せばいいのか分からないんでしゅ……」
チップスAIに任せていた処理から、サーバごと乗っ取られるなんて想像もしてなかったでしゅ……。
ボスAIエージェントも結局はソフトウェアだ。古くからある弱点が、新しい姿で牙をむく。仕組みを押さえれば守れるぞ。
本記事では、AIエージェント基盤LangGraphで見つかった脆弱性チェーンについて、何が危険でどう守るかを整理します。
読み終える頃には、自社運用のAIエージェントで真っ先に確認すべき点が分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まず何が見つかったのかを整理します。
Check Point Researchの研究者は、LangChainが開発するAIエージェント基盤LangGraphに3件の脆弱性を報告しました。
中心となるのは、データの保存部分でのSQLインジェクションと、データを復元するときの安全でない処理です。
このふたつを組み合わせると、攻撃者はサーバ上で任意のコードを実行できてしまいます。
影響を受けるのは自分たちでLangGraphを構築する自己ホスト型の環境で、マネージドのLangSmithは対象外とされています。
報告された脆弱性は以下のとおりです。
| CVE番号 | 内容 | CVSS |
|---|---|---|
| CVE-2025-67644 | SQLite保存部分のSQLインジェクション | 7.3 |
| CVE-2026-28277 | msgpackの安全でないデシリアライゼーション | 6.8 |
| CVE-2026-27022 | Redis保存部分のクエリインジェクション | 6.5 |
チップス別々の弱点をつなげて悪用するって、どういうことなんでしゅか?
ボス単独では小さな穴でも、つなげば一本道の侵入路になる。次でその流れを見てみよう。
なぜAIエージェントが狙われ、何を失うのかを掘り下げます。
LangGraphには、AIエージェントが対話の途中経過を覚えておくための保存機能があります。
この機能はデータベースに状態を書き込み、後で読み戻す仕組みです。
攻撃者は、外部から渡せる検索条件にSQLインジェクションを仕込み、偽の保存データを紛れ込ませます。
そのデータを読み戻す瞬間に不正なコードが実行され、サーバが乗っ取られます。
乗っ取られた場合に失われる恐れがあるものは次のとおりです。
チップス便利だからって何でもAIに任せると、被害も大きくなるんでしゅね。
ボスそのとおりだ。だからエージェントに渡す権限は必要最小限にとどめる。これが被害を抑える基本になる。
LangGraphの事案は、AIエージェント基盤にも従来のWebアプリと同じ弱点が潜むことを示しました。
開発元は修正版を公開しており、langgraph本体は1.0.10以降、SQLite向けは3.0.1以降、Redis向けは1.0.2以降への更新が推奨されています。
入力のチェックだけでは防ぎきれないため、まずはパッケージを最新版へ上げることが先決です。
自社でAIエージェントを運用するなら、依存パッケージの更新と権限の最小化を日々の運用に組み込んでください。
こうしたAI時代の新しい脅威に立ち向かいたい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: Check Point Research「From SQLi to RCE – Exploiting LangGraph’s Checkpointer」
参考: Cybersecurity News「Critical Vulnerability Chain in LangGraph Allows Attackers to Gain Full Server Control」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
