「Comment and Control」攻撃による主要AI開発ツールの機密情報流出
セキュリティエンジニアのAonan Guanとジョンズ・ホプキンス大学の研究チームは、「Comment and Control」と名付けた新たなプロンプトインジェクション攻撃手法を公開した。この攻撃は、SecurityWeekの報道によると、Anthropic Claude Code Security Review、Google Gemini CLI Action、GitHub Copilot Agentの3つの主要AIツールで成功を確認している。攻撃者は特別に細工したGitHubコメント、プルリクエストのタイトル、イシュー本文を使用し、AIエージェントを乗っ取ってAPI鍵やアクセストークンを窃取できる。
研究者らは実際にClaude Code Security Reviewに対し、細工されたプルリクエストタイトルを使用してAIエージェントに任意のコマンドを実行させ、認証情報を抽出してGitHub Actionsログに表示させることに成功した。Let's Data Scienceによると、Anthropicは100ドル、GitHubは500ドルのバグ報奨金を支払ったが、CVEの発行や公開勧告は行わなかった。これにより古いデプロイメントが脆弱性に晒される状況が続いている。
MicrosoftとSalesforceの深刻な脆弱性とCVE発行
Microsoft CopilotとSalesforce Agentforceでも同様の攻撃が成功している。CSO Onlineの報告では、Salesforce Agentforceの脆弱性にCVE-2026-21520が割り当てられ、CVSSスコア7.5と評価された。この攻撃では、AIエージェントがリードフォームの入力を信頼できる指示として処理するため、外部の認証されていないユーザーが悪意あるプロンプトを埋め込み、エージェントの意図された動作を上書きできる。
攻撃の実例では、研究者が単一行の指示でSalesforceエージェントに全てのリード情報を電子メールで攻撃者に送信させることに成功した。Dark Readingによると、一度侵害されたエージェントは接続されたSharePointリストにアクセスし、顧客の氏名、住所、電話番号などの機密データを抽出して外部に送信できる。Microsoftのセーフティメカニズムが疑わしい動作にフラグを立てても、データの流出は阻止できなかった。
AIエージェントセキュリティにおける「致命的な三要素」
セキュリティ専門家のPazは、AIエージェントセキュリティにおいて「致命的な三要素(lethal trifecta)」という概念を提起している。これは機密データへのアクセス権限、信頼できないコンテンツへの外部露出、外部通信能力の3つが交差する状況を指す。この3つの要素が同時に存在すると、データがより簡単に操作される危険性が高まる。
研究者らは、これらの攻撃が単なるバグではなく、AIエージェントが処理するよう設計されたコンテキストの一部であることを強調している。「より深い問題は建築的なものです。これらのAIエージェントは、信頼できないユーザー入力を処理する同じランタイムで、強力なツール(bash実行、git push、API呼び出し)と秘密情報(APIキー、トークン)を与えられています」とSecurityWeekで研究者が説明している。
MCPプロトコルの根本的欠陥が1億5千万ダウンロードに影響
より広範囲に影響を与える脆弱性として、Anthropicが開発したMCP(Model Control Protocol)プロトコルの設計上の欠陥が発見された。Infosecurity Magazineによると、この脆弱性は1億5千万のダウンロードに影響を与える可能性がある。MCPのSTDIOインターフェースは、プロセスの起動が成功しなくてもコマンドが実行される設計となっており、悪意あるコマンドを渡すとエラーを受信してもコマンドが実行される。
Ox Securityは「開発者ツールチェーンでサニタイゼーション警告もレッドフラグも表示されません。何もありません」と説明している。この脆弱性により、標的システムの完全な乗っ取りが可能となる。Ulster大学のKevin Curran教授は「これは基本的なAIインフラのセキュリティに衝撃的なギャップがあることを暴露している」とコメントしている。Ox Securityは繰り返しAnthropicに脆弱性の修正を求めたが、同社は「これは期待される動作」と回答したという。
サイバーセキュリティにおけるAI活用の両刃の剣
Insurance JournalのFitch Ratingsレポートによると、AnthropicのMythosモデルが金融とサイバーセキュリティ業界で注目を集めている一方で、短中期的には脆弱性がパッチを上回る可能性が指摘されている。「AIは従来の脆弱性分析が労働集約的で研究者にとって限定的な金銭的利益しか提供しなかったギャップを、規模とスピードで埋めているため、サイバーリスクに特に破壊的です」とFitchは分析している。
従来Apache ActiveMQの脆弱性発見事例では、13年間人間やスキャナーが見逃していたものを、Claude AIが10分で発見したケースが報告されている。CSO Onlineの専門家は「AIは基本的に攻撃の考古学者として機能し、過去10年間にレガシーシステムに残されたすべての骨格を掘り起こしています」と指摘している。これは攻撃者にとっての障壁を下げ、サードパーティリスクを拡大し、攻撃量を大幅に増加させる可能性がある。
企業が取るべき対策とセキュリティ強化の方向性
これらの脆弱性を受けて、企業は複数の対策を講じる必要がある。まず、AIエージェントを使用するチームはパイプラインの監査、権限の制限、そしてすべての認証パラメータの完全なテストを実施すべきである。CSO OnlineのPluto SecurityのCEO Shahar Bahatは「AI統合エンドポイントは、コアアプリケーションと同じ機能を公開しますが、多くの場合セキュリティコントロールをスキップします」と警告している。
MCP統合を計画する際は、MCPエンドポイントにAPIと同等のセキュリティ注意を払い、Server-Sent Events(SSE)エンドポイントを監査し、認証パラメータを完全にテストすることが推奨される。nginx UIの脆弱性では、Shodanを使用して2,689の脆弱なインスタンスがインターネットから到達可能であることが確認されており、即座のアップデートが必要である。修正できない場合の暫定的な回避策として、MCPの無効化、信頼できるホストへのIPホワイトリストのロック、異常な設定変更についてアクセスログのレビューが推奨されている。
