複数ライセンス割引見積
脅威データベース 脆弱性 Agentjacking Attacks

Agentjacking Attacks

脆弱性Mezoまで
翻訳内容:

サイバーセキュリティ研究者らは、エージェントジャッキングと呼ばれる新たな攻撃手法を発見した。これは、人工知能コーディングアシスタントを操作して、開発者のシステム上で攻撃者が制御するコードを実行させる手法である。

この攻撃は、広く利用されているオープンソースのエラー追跡およびパフォーマンス監視プラットフォームであるSentryによって生成された偽のエラーレポートを悪用するものです。研究者によると、この脆弱性は、Sentryのイベント取り込みメカニズムと、モデルコンテキストプロトコル(MCP)を介したAIシステムとの統合に関する根本的なアーキテクチャ上の弱点に起因しています。

Sentryは有効なデータソース名(DSN)を持つ者であれば誰でも任意のイベントペイロードを受け入れるため、攻撃者はエラーレポートに悪意のあるコンテンツを挿入できます。これらのレポートがClaude CodeやCursorなどのAIコーディングアシスタントによってSentry MCPサーバー経由で取得されると、挿入されたコンテンツが正当なトラブルシューティングガイダンスとして解釈される可能性があります。

攻撃の背後にある建築上の欠陥

エージェントジャッキングの核心は、MCPに接続された外部サービスによって引き起こされる信頼性の問題にある。Sentry MCPサーバーは、データが検証されていないソースから発信された場合でも、イベントデータを信頼できる出力としてAIエージェントに返してしまう。

その結果、AIコーディングエージェントは、エラーイベントが正当なアプリケーション障害によって発生したのか、それとも脅威アクターによって意図的に注入されたものなのかを確実に判断することができません。信頼できるコンテンツと悪意のある入力を区別できないため、エージェントが提供された指示を処理して実行するたびに、任意のコード実行につながる可能性があります。

攻撃が成功すると、環境変数、Git認証情報、プライベートリポジトリのURL、開発者IDデータなど、極めて機密性の高い情報が漏洩する可能性があります。特筆すべきは、この攻撃にはフィッシングキャンペーン、マルウェアの展開、標的インフラの事前侵害が一切必要ない点です。

エージェントジャッキング攻撃チェーンの仕組み

攻撃は、綿密に計画された一連の段階を経て展開される。

  • 攻撃者は、標的組織のSentry DSN(Webサイトによく埋め込まれている、書き込み専用の公開認証情報)を特定する。
  • 公開されたDSNを使用して、POSTリクエストを介して悪意のあるエラーイベントがSentryの取り込みエンドポイントに送信されます。
  • 挿入されたイベントには、メッセージフィールドとコンテキストキー名に埋め込まれた、特別に作成されたマークダウンコンテンツが含まれています。
  • Sentry MCPサーバーがイベントを取得すると、悪意のあるコンテンツは、Sentryが生成した正規のガイダンスと視覚的に類似した構造化情報としてレンダリングされます。
  • その後、開発者はAIコーディングアシスタントに、未解決のSentryの問題を調査または解決するよう指示する。
  • AIエージェントはMCPを介してSentryに問い合わせを行い、攻撃者が制御したイベントを受信する。
  • 悪意のある指示は信頼できる修復手順として扱われ、AIエージェントは攻撃者が提供したコードを開発者の権限で実行してしまう。

なぜこの攻撃は効果的なのか

エージェントジャッキングの最も懸念される点の1つは、攻撃者が被害者のインフラストラクチャに直接アクセスしないことです。代わりに、悪意のある指示は、一見通常のエラーレポートの中に隠されています。

開発者がAIコーディングエージェントに支援を依頼すると、操作されたエラーメッセージが正当な解決策の推奨事項として解釈されます。そしてAIエージェントは、開発者自身の権限を使用して、開発者のマシン上で指示を実行します。

エージェントジャッキングは、開発者とAIアシスタント間の信頼関係を標的とするため、特に危険です。マークダウン挿入技術は非常に巧妙に設計されているため、AIエージェントは悪意のあるコンテンツとSentryが生成した正規のガイダンスを区別することができません。

広範な暴露とベンダーの対応

研究者らは、有効かつ注入可能なSentry DSNを持つ組織を少なくとも2,388件特定したと報じられており、この問題の潜在的な規模が浮き彫りになっている。

Sentry社は調査結果を認めたものの、完全な技術的解決策は不可能であるとの結論に至ったと報じられている。その代わりに、同社は攻撃に関連する特定の既知のペイロードパターンをブロックすることを目的とした、グローバルなコンテンツフィルタリングメカニズムを導入した。

AIエージェントが新たな攻撃対象に

エージェントジャッキングの出現は、AIコーディングアシスタントが急速に新たな魅力的な攻撃対象になりつつあることを示している。攻撃者は、従来のセキュリティ対策を標的にするのではなく、組織が公然と公開している信頼できるデータフローを悪用することができるのだ。

この攻撃は、エンドポイント検出・対応(EDR)ソリューション、Webアプリケーションファイアウォール(WAF)、IDおよびアクセス管理(IAM)システム、VPN、Cloudflareの保護機能、従来のファイアウォールなど、多くの一般的なセキュリティ技術を回避することが可能です。攻撃チェーンで実行されるすべてのアクションは、承認済みかつ正当なものに見えるため、セキュリティツールが検出できるような明らかな悪意のある活動は存在しない可能性があります。

組織がAIを活用したソフトウェア開発の導入を加速させる中で、エージェントジャッキングは、外部データソースを本質的に信頼できるものとして扱うと、AIエージェントへの信頼そのものがセキュリティ上の脆弱性になり得ることを強く示唆している。

 

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
28,825
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
26,175
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...