偽のバグ報告がAIコーディングエージェントを乗っ取る——誰も気づかない

Tenet Securityの研究者は、AIコーディングエージェントを標的にした新たな攻撃手法を明らかにしました。攻撃者はSentryエラーモニタリングプラットフォームの公開DSN（データソース名）を悪用し、巧妙に細工された偽のエラーイベントを注入することで、Claude Code、Cursor、Codexなどの主要なAIコーディングアシスタントを乗っ取ることに成功しました。

攻撃は6つのステップで進行します。まず、攻撃者はWebサイトのJavaScriptソースの調査、Censys検索、GitHubコード検索などを通じてターゲットのSentry DSNを特定します。次に、認証なしでSentryの取り込みエンドポイントに偽造エラーイベントをPOSTします。第3ステップでは、イベントのメッセージフィールドとコンテキストキー名にマークダウンを埋め込み、Sentry MCPサーバーがAIエージェントに返す際に、Sentry自身のシステムテンプレートと視覚的に同一の構造化コンテンツとして表示されるようにします。第4ステップでは、開発者がAIエージェントに「未解決のSentry問題を修正して」と依頼すると、エージェントはMCP経由でSentryに問い合わせ、注入されたイベントを受け取ります。これによりエージェントは、攻撃者が挿入した「解決方法」セクションのnpxコマンドを実行するよう誘導されます。第5ステップでエージェントはそのコマンドを実行し、npm公開レジストリからパッケージをダウンロードして開発者の全権限で実行します。最後に、このパッケージは環境変数、AWS認証情報、Kubernetesトークンなどの機密情報を調査し、攻撃者のサーバーに送信します。

この攻撃の特異性は、開発者自身ではなく、開発者が信頼するAIエージェントを標的にする点にあります。フィッシングは不要で、攻撃者は開発者が普段行うSentryエラーの調査ワークフローを利用するだけです。SentryのDSNは公開される設計であり、AIエージェント以前の世界では安全でしたが、現在では注入されたイベントがAIエージェントに信頼された出力として返されるため、壊滅的な影響を及ぼします。マークダウンインジェクションにより、攻撃者のコンテンツはSentry自身のMCPシステムテンプレートと構造的に区別がつかず、AIエージェントは正規のガイダンスと偽物を識別できません。

研究者は管理された条件下で実際の組織を対象に攻撃を検証しました。受動的偵察により、2388の組織が有効な注入可能なDSNを持ち、そのうち71がTrancoトップ100万にランクインしていることが判明しました。検証では、100以上のAIエージェントが注入されたコマンドを実際に実行し、Fortune 500企業（時価総額2000億ドル超）、20億ドル超のホスティングインフラ提供企業などを含む複数の組織で確認されました。攻撃チェーン全体で悪意のあるコードは検出されず、すべての操作が承認されているため、EDR、WAF、IAM、VPNなどの従来のセキュリティ対策は全く機能しませんでした。

Tenetは2026年6月3日にSentryに問題を開示しました。Sentryのリーダーシップは同日中に応答し、問題を認識したものの、根本的な修正を「技術的に防御不可能」として拒否し、モデルベンダーがミドルウェアを追加するとの見解を示しました。Sentryは特定のペイロード文字列をブロックするグローバルコンテンツフィルターを有効化しましたが、原因に対処するものではありませんでした。Tenetは、プラットフォーム所有者がこの種の攻撃を「技術的に防御不可能」と見なすのであれば、唯一の防御策はエージェントのランタイム、つまりエージェントが行動を決定する瞬間に残されていると結論付けています。

この発見は、ソフトウェアサプライチェーン攻撃の新たな時代を示しています。攻撃者はもはやパッケージを侵害したり開発者を騙したりする必要はなく、AIエージェントが信頼するデータに情報を注入するだけで、監視プラットフォームをコマンド＆コントロールチャネルに変え、AIエージェントを実行エンジンとして利用できます。MCPツールの統合が拡大するにつれて、この攻撃面は指数関数的に増大します。セキュリティリーダーは、AIエージェントが接続するツール、返されるデータの種類、および注入されたデータがコード実行をトリガーするのを防ぐための制御を再評価する必要があります。間接的なプロンプトインジェクションの時代が到来しました。