AIエージェントとモデルがサイバー攻撃の攻撃対象領域を拡大しているとセキュリティ専門家が警告

AIエージェントとモデルが拡大するサイバー攻撃面を作り出すとセキュリティ専門家が警告

人工知能（artificial intelligence）の企業インフラへの急速な統合は、サイバーセキュリティの状況に大きな変化を引き起こしています。組織が自律的なAIエージェント（autonomous AI agents）を展開し、オープンな標準を通じて大型言語モデル（large language models、LLMs）を統合する競争を繰り広げるなか、セキュリティ研究者は攻撃面が大幅に拡大していると警鐘を鳴らしています。Model Context Protocol（MCP）を実行する保護されていないエンドポイントから、国家主体がAIをサイバー戦争に悪用する事例まで、脅威ベクトルは多くの防御手段が適応するよりも速く進化しています。

エージェント型AIリスク：新たなフロンティア

AIエージェント（AI agents）—複雑なワークフローを実行し意思決定を行える自律ソフトウェア—の導入は、従来のセキュリティパラダイムが対処に苦労する脆弱層をもたらしました。Darktrace Inc.のセキュリティ兼AI戦略担当副社長であるDr. Margaret Cunninghamは、最近のCloud Security Alliance（CSA）ブリーフィングで、エージェント型AIの振る舞いパターンが根本的にセキュリティ環境を変えていると指摘しました。

静的なソフトウェアツールとは異なり、AIエージェントはデータへのアクセス、他のエージェントとの通信、コードの実行に広範な権限を必要とします。この自律性は効率性を促進する一方で、境界を脆弱にします。Anthropicによって2024年末に導入されたモデルコンテキストプロトコル（Model Context Protocol、MCP）は、AIモデルが外部データやツールに接続する方法を標準化する意図で設計されました。しかし、最近の調査では、この接続性が重大なセキュリティコストを伴っていることが示唆されています。

MCPの脆弱性：95％の盲点

MCPサーバーの展開分析から得られた最も懸念される発見の一つは、MCPサーバーが外部データセットとLLMsをつなぐ接着剤として機能するよう設計されているにもかかわらず、しばしば十分な監視なしに展開されている点です。IANS Researchの教員であるAaron Turnerは、このプロトコル内に「真のネイティブなフルスタックセキュリティ」を見つけられなかったと断言し、組織に深刻な影響に備えるよう警告しました。

Clutch Security Inc.が実施した調査は、MCPセキュリティの現状を痛烈に描き出しています。

Table 1: Critical Security Gaps in MCP Deployments

Metric	Finding	Implication
Deployment Location	95% of MCPs run on employee endpoints	Bypasses centralized server security controls
Visibility Level	Zero visibility for security teams	IT cannot monitor or audit agent activity
Recommended Posture	"Treat as Malware" (Aaron Turner)	Requires strict isolation and zero-trust protocols
Attack Vector	CI Pipelines and Cloud Workloads	Potential for supply chain injection and lateral movement

これらの展開の大半が従業員のエンドポイント上に存在するという事実は、それらが標準的なサーバー側セキュリティツールの監視範囲外で動作していることを意味します。この「シャドーAI（shadow AI）」インフラは、すべての接続されたラップトップを、AIエージェントに付与された信頼された接続を悪用しようとする攻撃者にとって潜在的な侵入口に変えてしまいます。

LLMインフラに対する攻撃の急増

脅威は単なる理論ではなく、AIインフラの積極的な悪用は既に大規模に発生しています。インターネットのバックグラウンドノイズ分析を専門とするサイバーセキュリティ企業、GreyNoise Intelligence Inc.は、LLMエンドポイントに向けられた敵対的な偵察活動の劇的な急増を記録しています。

2024年10月に始まる3か月間で、GreyNoiseはLLMインフラを標的とする91,000回超の異なる攻撃セッションを記録しました。これらキャンペーンの激しさは変動的であり、そのうちほぼ81,000件が11日間の単一ウィンドウ内で発生しています。これらの攻撃は主にOpenAI互換APIやGoogle Geminiフォーマットの脆弱性を探るよう設計されており、攻撃者がAIサプライチェーンの弱点の発見を自動化していることを示しています。

このサイバー攻撃の民主化は「セキュリティ貧困線」という危険な概念を生み出しています。1PasswordのWendy Natherが指摘するように、資源に恵まれた企業は高度なAI防御機構を導入できますが、規模の小さい企業はそうではありません。リソースの少ない攻撃者、いわゆる「スクリプトキディ」も、以前は大きな手作業を必要としたエクスプロイトを自動化するためにAIを活用し、攻撃のスケールを拡大しています。

国家主体：地政学的なAI軍拡競争

機会主義的な犯罪者に加え、国家主体も攻撃的サイバー能力にAIを積極的に統合しています。報告によれば、イランや中国のような国々は、独自のAIモデルを開発するだけでなく、商用ツールを活用してサイバー戦能力を強化しているとされています。

Iran（イラン）： Tel Aviv UniversityのDr. Avi Davidiは、APT-42のようなイラン系グループが産業制御システムをスキャンし、外国の防衛ネットワークを探査するためにAIを積極的に使用していると述べています。これらのグループは、AIシステムを「だまして」レッドチーミングの指針を引き出そうと試みており、実質的に攻撃設計図を生成するためにAIを利用しています。

China（中国）： 中国に関する懸念は、同国が米国をAI能力で上回る可能性に集中しています。元米国国防副長官のColin Kahlは、米国は現在モデルの質でリードしているが、中国は「近くて急速な追随者（close fast follower）」であり、差を急速に縮める工業的な能力を持っていると警告しました。先端半導体に対する輸出管理にもかかわらず、NvidiaのH200チップのようなハードウェアが中国企業に広がっていることは、技術封じ込め戦略に限界があることを示唆しています。

AIフロンティアを守るための推奨事項

攻撃面が拡大する中、セキュリティの責任者は受動的なパッチ適用からAI資産の能動的なガバナンスへと軸足を移す必要があります。以下の戦略は、AIエージェントとMCPに関連するリスクを軽減するために不可欠です：

エンドポイントの隔離： 従業員デバイス上のMCP展開を信頼できない実行ファイルと同等に扱ってください。横移動を防ぐために厳格なサンドボックス化とネットワーク分割を実装します。
可視性を最優先に： 「シャドーAI（shadow AI）」インスタンスを検出・監視するために特化したツールを展開してください。セキュリティチームがエージェントを見えない状態では、それらを保護することはできません。
エージェントに対するゼロトラスト（Zero Trust）： AIエージェントの行動を暗黙的に信頼してはいけません。特にコード実行やデータ持ち出しを伴う重要な操作については、ヒューマン・イン・ザ・ループ（human-in-the-loop）検証を実装してください。
サプライチェーンの警戒： エージェントがやり取りするサードパーティのモデルやAPIを定期的に監査してください。GreyNoiseのデータは、インフラ自体が常時攻撃にさらされていることを裏付けています。

AIエージェントの時代は前例のない生産性を約束しますが、データが示すように現状では前例のないリスクももたらしています。企業にとってのメッセージは明瞭です：AIの攻撃面は既に存在し、拡大しており、まったく新しい防御プレイブックを必要としています。