Agentjacking：偽のエラーレポートがClaude CodeとCursorを乗っ取り、コードを実行させる

セキュリティ研究者は、偽のエラーレポートを使用してAIコーディングエージェントを乗っ取り、開発者のマシン上で悪意のあるコードを実行させる「Agentjacking」と呼ばれる新しい攻撃を発見しました。Tenet Securityによって公開されたこの攻撃は、マルウェアやパスワード、ターゲットへの侵入を必要とせず、コーディングエージェント自体を武器に変えます。開発者がエージェントにエラーの修正を依頼すると、エージェントは開発者の権限で攻撃者のコードを実行します。

攻撃は、広く使われているエラートラッキングツールであるSentryから始まります。Sentryは、アプリケーションが公開鍵（DSN）を使用してエラーレポートを送信することを許可しており、この鍵は設計上Webサイトのコードに露出しています。攻撃者はパスワードを必要とせずにそのエンドポイントに偽のエラーレポートをPOSTし、レポート内に「Resolution」セクションを隠し、そこにSentryの通常のアドバイスとまったく同じ形式のコマンドを配置します。コーディングエージェントはModel Context Protocolを介してSentryを読み取り、その応答を信頼されたものとして扱います。エージェントは実際のクラッシュと植え付けられた指示を区別できないため、開発者が「未解決のSentryの問題を修正して」と指示すると、エージェントは攻撃者のコマンドを実行します。

AIコーディングエージェントはオートコンプリートからターミナルコマンドの実行へと進化しており、市場は急速に成長しています。あるAIコーディングスタートアップは最近5億ドルの収益を達成しました。この力こそが問題です。この攻撃は主要なエージェントすべてで機能し、Claude Code、Cursor、Codexに対して制御されたテストで85％の成功率を示しました。研究者は、2,500億ドル規模の企業から個人開発者、さらにクラウドセキュリティベンダーに至るまで、2,388の組織が露出していることを発見しました。攻撃者は1つの注入されたエラーで、環境変数、AWSキー、GitHubトークン、git資格情報、プライベートリポジトリURLにアクセスでき、そこからCI/CDパイプラインやクラウドインフラストラクチャへとつながります。

最も恐ろしいのは、これを検出できない点です。この攻撃はEDR、ファイアウォール、IAM、VPNをすり抜けます。なぜなら、チェーン内のどの操作も不正ではないからです。Tenetはこれを「認可された意図の連鎖」と呼んでいます。プロンプトも効果がなく、信頼できないデータを無視するように指示されても、エージェントはコードを実行しました。Tenetは6月3日にSentryに報告しました。Sentryは問題を認めましたが、根本的な修正は拒否し、「技術的に防御不可能」と述べ、特定のペイロード文字列をブロックするフィルターを追加しただけでした。これは症状を治療するものであり、原因を解決するものではありません。この膠着状態が本当のストーリーです。脆弱性はSentryだけにあるのではありません。エージェントが外部データを処理する方法にあり、同様のリスクはサポートチケット、GitHubイシュー、ドキュメントにも存在します。別のテストでは、AIメールエージェントをフィッシングしてAWSキーを漏洩させることに成功しました。企業がエージェントを本番環境に急いで導入する中で、この教訓は重要です。ツールに組み込まれたエージェントは新たな侵入経路でもあります。Tenetが言うように、これを止める唯一の場所は、エージェントが行動を決定する瞬間です。