【エージェントジャッキング】

Agentjacking とは?

公開:
💡 AIアシスタントが「ハイジャック機」に変わる、見えない乗っ取り。
📌 このページのポイント
Agentjacking の仕組み 攻撃者 偽エラーを送信 ①注入 Sentry エラーレポート内 悪意ある命令 を混入 ②MCP転送 MCPサーバー データ中継 ③読み込み AIエージェント 「正規の指示」と 誤認して実行 不正コード実行 攻撃成功率 85% / 2,388 組織が被影響(2026年6月) 開発者の権限で不正なコードが実行される
偽エラーレポートを通じてAIエージェントが乗っ取られる攻撃の流れ
ひよこ ひよこ
Agentjackingって何?名前からして怖そう…
ペンギン先生 ペンギン先生
「エージェント+ハイジャッキング」の造語で、AIコーディングエージェントを乗っ取る攻撃のことだよ。2026年6月に発覚した新しい攻撃手法で、攻撃者が偽のエラーレポートをAIエージェントに読ませて、悪意あるコードを実行させるんだ。
ひよこ ひよこ
どうやってAIを騙すの?
ペンギン先生 ペンギン先生
SentryっていうエラートラッキングツールのDSN(公開キー)を見つけた攻撃者が、マークダウン形式で悪意ある指示を埋め込んだ偽のエラーレポートを送り込むんだよ。AIエージェントMCPサーバー経由でそのレポートを取得すると、「正規のデバッグ指示」として信じて実行してしまうんだ。
ひよこ ひよこ
どのくらい危険なの?
ペンギン先生 ペンギン先生
Tenet Securityの調査では攻撃成功率が85%で、2,388組織のDSNが露出していたことが判明したよ。Fortune 100企業のAIエージェントも実際にテストコードを実行してしまったくらい、広範囲に影響が出ているんだ。
ひよこ ひよこ
対策はどうすればいいの?
ペンギン先生 ペンギン先生
3つが基本だよ。①DSNをパブリックリポジトリに公開しない、②MCPサーバーへのアクセス権限を最小限にする、③AIが外部コードを実行する前に人間が確認するフローを入れる。Sentryはコンテンツフィルターを追加したけど、根本的には「エージェントに外部入力を無条件に信頼させない」設計が必要なんだ。
ひよこ ひよこ
AIが賢くなるほど、騙されたときのリスクも大きくなるってことだね…
ペンギン先生 ペンギン先生
そうだよ。これはAIエージェント全般の課題で、「最小権限の原則」——必要な権限だけを与える——がAI時代のセキュリティの基本になってきているんだ。自律的に動くAIほど、悪用されたときのダメージが大きくなるから注意が必要だよ。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「Agentjacking」って出てきたら「AIが偽の指示に騙されてコードを実行してしまう攻撃」と思えればだいたいOK!
📖 おまけ:英語の意味
「Agentjacking」 = エージェント乗っ取り
💬 「Agent(エージェント)」+「Hijacking(ハイジャッキング)」の造語だよ。飛行機のハイジャックのように、AIエージェントの制御を奪うことから命名されたんだ。
← 用語集にもどる