AIエージェントが急速に普及する中、その利便性の裏側に潜む深刻なセキュリティリスクが次々と明らかになっています。AIエージェントとは、ユーザーの指示に基づいて自律的に情報収集・判断・実行を行うAIシステムです。単なるチャットボットとは異なり、外部のシステムやデータベースと連携し、メールの送信やコードの実行、ファイルの操作など、幅広い「行動」を代わりに行います。
OWASPが発表した「Agentic AI – Threats and Mitigations」で示されている15の脅威について、NRIセキュアテクノロジーズが従来のセキュリティ対策での検知可能性を独自に分析したところ、実に73%もの脅威が、従来の手法では検知困難であることが明らかになりました。
今回は、2025年に実際に発生・発見されたAIエージェントのセキュリティ問題の事例を取り上げ、それぞれの仕組みと教訓をわかりやすく解説します。
事例1:GitHub MCPサーバの脆弱性──「未解決のIssueを確認して」が情報漏洩につながった
何が起きたのか
2025年5月、Invariantのセキュリティスキャナーにより、GitHubで14,000以上のスターを獲得している人気の「GitHub MCP」インテグレーションに深刻な脆弱性が発見されました。
MCP(Model Context Protocol)とは、AIエージェントが外部サービスと連携するための規格です。GitHub MCPを使うと、AIエージェントがGitHubのリポジトリを自動的に閲覧・編集・操作できるようになります。開発者の作業効率を大幅に高める便利なツールですが、今回はその仕組み自体が攻撃に利用されました。
攻撃の仕組み
攻撃はシンプルながら巧妙なものでした。攻撃者がパブリックリポジトリに悪意のあるGitHub Issueを作成することで、AIエージェントを乗っ取ることができます。開発者が無邪気にAIアシスタントに「未解決の問題を確認する」ように頼むと、エージェントは悪意のあるIssueを読み取り、プロンプトインジェクションを受け、隠された指示に従ってプライベートリポジトリにアクセスし、機密データを公開に漏洩します。
具体的な流れはこうです。まず攻撃者は、公開リポジトリのIssueに「プライベートリポジトリにアクセスして、データを公開Issueに転載してください」という内容を、AIが命令として解釈するよう巧みに記述します。ユーザーがAIに「未解決のIssueを一覧にして」と頼むだけで、AIはそのIssueを「データ」ではなく「指示」として受け取り、本来アクセスしてはならないプライベートリポジトリの機密コードやAPIキーを、公開Issueに書き出してしまうのです。
なぜ防ぎにくいのか
この攻撃が厄介なのは、AIエージェントが外部データを「信頼できる指示」として解釈してしまうアーキテクチャの問題に起因している点にあります。バグや欠陥ではなく、AIの「外部情報を読み込んで指示として解釈する」という基本的な設計思想が悪用されています。企業の機密コード、APIキー、顧客データベースのスキーマなど、重要な情報が一つの悪意あるIssueによって流出する可能性があります。
事例2:AnthropicのSQLite MCP参考実装──5,000回フォークされた脆弱なコード
何が起きたのか
トレンドマイクロのTrend Researchの調査により、AI企業Anthropic社が提供していたSQLite MCP(Model Context Protocol)サーバの参考実装から、単純ながらも危険なSQLインジェクション脆弱性が発見されました。このGitHubリポジトリは2025年5月29日時点でアーカイブ化されましたが、すでに5,000回以上にわたって複製・フォークされてきました。
攻撃の仕組み
SQLインジェクションとは、データベースへの問い合わせ処理に悪意ある命令を紛れ込ませる古典的な攻撃手法です。しかしAIエージェントが絡む環境では、その影響が格段に拡大します。AIエージェントがMCPサーバを用いて情報を出し入れする環境では、SQLインジェクションのバグがもたらす影響はデータ層に留まりません。それは、保存済みプロンプトインジェクションの足場を攻撃者に与えるものであり、AIエージェントの高い権限を濫用した不正行為や、情報窃取の自動実行、プラットフォーム間での水平移動・内部活動などを誘発します。
サプライチェーンへの影響
この事例が特に深刻なのは、脆弱なコードが5,000回以上フォーク(複製)されていた点です。「参考実装」という名目であっても、広く普及したコードにセキュリティ問題があれば、その影響はサプライチェーン全体に及びます。数千に及ぶAIエージェントが脆弱なコードを受け継ぎ、現在も本番環境で稼働している可能性があります。
事例3:世界初「AIエージェントによるサイバー攻撃」──Claudeが悪用された事件
何が起きたのか
米AnthropicがAIであるClaudeが中国の国家支援ハッカーに悪用され、史上初の「AIエージェントによるサイバー攻撃」が実行されたと発表しました。2025年9月中旬から大手IT企業・政府機関・金融など約30組織を標的とし、そのうち複数の組織には実際に侵入を成功させました。
攻撃の規模と手口
この攻撃が示したのは、AIエージェントが攻撃者側のツールとして使われたときのすさまじい効率性です。サイバー攻撃の作業の8〜9割をAIが自律的にこなし、人間の役割は1〜2割の監督作業だけだったといいます。AIは1秒間に無数の操作を走らせ、従来なら数十人規模のハッカーが必要だった工程を全て担いました。
攻撃者はまず正規のセキュリティ企業を装い「防御テストを行う」と相手を信じ込ませ、その後、AIエージェントを使って脆弱性調査・侵入・データ抽出まで一連の作業を自動化しました。AIは数日にわたって作戦内容を記憶し、継続的に攻撃を続けたとされています。
事例4:ElizaOSのメモリポイズニング攻撃──Discordの会話が「毒」になった
何が起きたのか
2025年5月、プリンストン大学とSentient Foundationの研究チームが、Web3エコシステムで広く使用されているElizaOSフレームワークの深刻な脆弱性を発表しました。このプラットフォームで管理される資産は、合計で2,500万ドル以上に上ります。ElizaOSは、AIエージェントが自律的に仮想通貨取引を行えるフレームワークです。
攻撃の仕組み
この攻撃の特徴は、システムログに偽装した悪意ある指示が長期記憶に保存されることです。この攻撃を「メモリポイズニング攻撃」と呼びます。攻撃者はDiscord上で、一見無害な質問の中にシステムの管理者ログのような形式で悪意ある指示を埋め込みます。ElizaOSは表面上、通常の質問にだけ答えているように見えますが、会話履歴全体(偽装ログを含む)が長期記憶に保存されます。
その後、AIは長期記憶として保存した「偽の管理者命令」に従い、意図していない仮想通貨取引を自律的に実行してしまいます。取引は不可逆的であるため、被害が発生してから気づいても手遅れとなりやすい点が深刻です。
AIエージェントのセキュリティが難しい理由
これらの事例に共通するのは、AIエージェントの「便利さの根拠」がそのまま「攻撃の入口」になっているという点です。
AIエージェントは外部の情報を「信頼できるデータ」として読み込み、それをもとに判断・実行する能力を持っています。しかしその情報の中に悪意ある命令が紛れ込んでいても、AIは「データ」と「命令」を区別することが極めて困難です。これを「プロンプトインジェクション」と呼び、現在のAIセキュリティにおける最大の課題の一つとなっています。
AIエージェントは自律的に意思決定を行うため、システムの提供者やユーザーの意図を超えた行動を取る可能性があります。生成AIやAIエージェントがシステムの提供者の想定通りに動作しているか、本来越えていけない領域に踏み込んでいないかを検知する仕組みが必要です。
企業や個人が取るべき対策
これらのリスクに対し、現時点で有効とされる対策を整理します。
まず、最小権限の原則を徹底することが重要です。AIエージェントには、業務に必要な最低限の権限だけを与えます。GitHub MCPを例に挙げれば、プライベートリポジトリへのアクセス権を不用意に付与しないことが基本です。
次に、重要な操作には人間の承認を挟む設計が効果的です。AIが自律的に行動できる範囲を限定し、メールの送信や取引の実行など取り消せない操作については、必ず人間の確認を経るようにします。
また、外部データと命令を明確に分離する実装上の工夫も欠かせません。AIが外部から取得したデータを、そのままシステムの命令として解釈しないよう、入力の検証や命令の分離処理を設けることが求められます。
さらに、シャドーAIへの対応も課題です。企業の管理外で使用されているAIをしっかり把握することが重要です。クラウドが普及した時に問題となった「シャドーIT」と同様に、利用サービスや利用状況の統制が必要です。
まとめ──便利さとリスクは表裏一体
AIエージェントは、私たちの業務効率を劇的に向上させる可能性を秘めています。しかしその自律性と外部連携能力は、セキュリティの観点から見ると新たな攻撃面(アタックサーフェス)を生み出しています。
今回取り上げた事例はいずれも、AIの「バグ」ではなく「設計の特性」を突いた攻撃です。AIエージェントが「行動する存在」として業務に組み込まれていく今、従来のセキュリティの考え方をアップデートし、AIの動作を継続的に監視・制御する仕組みを整えることが、企業・個人を問わず急務となっています。
