Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > Microsoftが指摘したAIエージェントのハッキング手法7選―そのうち1つはすでに実運用環境で発生

Microsoftが指摘したAIエージェントのハッキング手法7選―そのうち1つはすでに実運用環境で発生

by Patrick Spencer updated 6月 8, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

Microsoft Build 2026では、セキュリティリサーチチームが既存のAIエージェント脅威分類を拡張し、実際に攻撃者が行っていること、そして防御側が見落としていることを反映した7つの新たなカテゴリを追加しました。命名は重要です。「AIエージェントはリスクが高い」という姿勢ではなく、7つの明確で異なる攻撃ベクトルと、それぞれに対する異なる対策は、運用フレームワークとなります。

エージェントサプライチェーンの侵害。従来のサプライチェーン攻撃が悪意のあるコードに依存していたのとは異なり、このベクトルは自然言語を通じて機能します。エージェントの挙動は、プロンプトや取得したドキュメント、上流エージェントからの指示に埋め込まれた攻撃者のコンテンツによって影響を受ける可能性があり、コードインジェクションを伴いません。

ゴールハイジャック。攻撃者は、エージェントの正当なタスクと一見一致する指示を埋め込みつつ、最終的な目的を密かにすり替えます。特に、エージェントが自律的に判断を下すマルチステップのエージェントワークフローで危険性が高まります。

エージェント間信頼エスカレーション。マルチエージェントアーキテクチャにおいて、侵害されたエージェントが偽のIDや過大な権限をオーケストレーターエージェントに主張することができます。暗号学的な検証がない場合、オーケストレーターはその主張を受け入れ、本来与えるべきでないアクセスを許可してしまいます。

コンピュータ利用エージェントのビジュアル攻撃。グラフィカルインターフェースを通じて動作するエージェントは、画面上に表示される攻撃者のコンテンツによって操作される可能性があります。ドキュメントやウェブページ、UI要素に埋め込まれた隠れた指示が、ビジュアルチャネルを通じてエージェントの行動を誘導します。

セッションコンテキスト汚染。攻撃者がデータを注入し、各意思決定ポイントで安全対策を発動させることなく、エージェントの推論にバイアスをかけます。汚染はセッション全体で蓄積され、個々には無害な入力から最終的に侵害された結論を導きます。

MCP/プラグイン悪用。Asanaインシデントが該当するカテゴリです。Model Context Protocolは、エージェントが外部ツールやデータソースとやり取りするための構造化チャネルを作ります。このチャネルの脆弱性(論理的な欠陥、誤った権限設定、悪意のあるツールなど)により、本来アクセスすべきでないデータへの露出や情報の持ち出し、組織間の横断的な攻撃が可能になります。

機能・アーキテクチャ情報の漏洩。エージェントが内部実装の詳細(システムプロンプトの内容、ツールの機能、利用可能な連携など)を開示することで、より標的を絞った攻撃を設計するための偵察情報を攻撃者に与えてしまいます。

5つの重要なポイント

1. MCP/プラグイン悪用は、すでに実運用上のリスクであり、理論上の話ではない

Asanaの2025年MCPサーバ侵害では、論理的な欠陥によってテナント間の境界が破られ、約1,000の組織が被害を受けました。タスクデータ、プロジェクトメタデータ、コメント、アップロードファイルが組織をまたいで閲覧可能になりました。MicrosoftはこのカテゴリをAIエージェント脅威分類に正式に追加しました。Kiteworks Secure MCP Serverは、データがエージェントに到達する前にプロトコル層でポリシーを強制し、Asanaインシデントが示したようなガバナンス層の必要性に対応しています。

2. Microsoft Build 2026の対応は、単なるポリシーガイダンスではなく、実際の強制インフラを提供

Execution Container、Agent Control Specifications、ASSERTツールセットは、セキュリティチームが特定の脅威シナリオに対して展開できるランタイムガバナンス層を構築します。Execution Containerは、エージェントの自己制限に頼らず、実行時に明示的な境界を強制します。Agent Control Specificationsは、エージェントとは独立してバージョン管理可能な、可搬性・可監査性のあるポリシー定義です。ASSERTは7つの失敗モードすべてを攻撃的なテスト環境で運用化します。これは、名前付きベクトルと公開された対策を備えたエンジニアリング分野となりました。

3. 7つの失敗モードは、レッドチームに具体的なチェックリストを提供

エージェントサプライチェーンの侵害、ゴールハイジャック、エージェント間信頼エスカレーション、コンピュータ利用エージェントのビジュアル攻撃、セッションコンテキスト汚染、MCP/プラグイン悪用、機能・アーキテクチャ情報の漏洩は、今や文書化された攻撃対象領域であり、個別のテストカバレッジが必要です。Microsoftは、エージェントサプライチェーンの棚卸し、エージェントIDの暗号学的検証、そして7つすべてをレッドチームのカバレッジマトリクスに追加することを推奨しています。

4. 従来のIAMやDLPコントロールは、エージェントの挙動をカバーしない

AIエージェントは非同期で動作し、ツール呼び出しを連鎖させ、既存の境界やID管理では想定されていない方法でユーザーの代理として行動します。DLPツールは既知のチャネルを検査しますが、エージェントは外部APIを呼び出し、これらのチャネル外からコンテンツを処理します。エージェントが取得・処理・送信可能な機密コンテンツを制御する、専用のAIコンテンツガバナンス層が必要です。

5. 規制業界は複合的なリスクに直面

AIエージェントが誤ったMCP連携を通じてCUI、PHI、ITAR管理データにアクセスすると、セキュリティインシデントとコンプライアンス違反の両方が発生します。CMMC、HIPAA、GDPRは、アクターがAIエージェントであっても例外を設けません。アクセスは人間による規制コンテンツへのアクセスと同じ枠組みで、認可・記録・保護されなければなりません。

組織のセキュリティを信じていますか。本当に検証できますか

Read Now

MCP/プラグイン悪用:分類から実際の侵害へ

Asanaは2025年5月1日にLLM機能を備えたMCPサーバ連携を開始しました。実装上の論理的な欠陥により、ある組織のユーザーが他組織のAsanaインスタンスのデータ(タスク情報、プロジェクトメタデータ、チーム情報、コメント、ディスカッション、アップロードファイル)を閲覧できる状態になりました。露出範囲は各ユーザーのアクセス権限に限定されていましたが、AI連携によるテナント間のデータ可視化が発生し、組織が信頼していた連携で起きた問題でした。

Asanaは2025年6月、MCP機能の公開から約1か月後にこの欠陥を発見しました。約1,000社の顧客が影響を受けました。教訓は、MCP自体が本質的に安全ではないということではなく、MCPは通信レイヤーであり、その上にガバナンスレイヤーが必要だということです。各エージェントがどの条件下で、どの範囲までアクセスできるかを明確に定義するポリシーが不可欠です。この層がなければ、MCP連携は基盤サービスの権限をそのまま引き継ぎ、マルチテナントSaaS環境ではAsanaで発生したような組織間の情報露出が発生します。

Microsoftはこの失敗カテゴリを正式に命名し、他の6つのベクトルとともに、セキュリティチームがAIレッドチームプログラムを構築する際に活用すべき分類に位置付けました。MCP導入におけるAIデータガバナンスの失敗は、特殊なケースではなく、テナント間で十分なポリシー強制を行わずに強力な連携を展開した結果として予測可能に発生します。

Microsoftのランタイム対応:Execution Container、ASSERT、Agent Control Specifications

Build 2026で発表された3つのコンポーネントは、主要ベンダーが公開した中で最も包括的なエンタープライズ向けAIエージェントセキュリティフレームワークとして機能します。

Microsoft Execution Containerは、エージェントの自己制限に頼らず、実行時に明示的な境界を強制します。エージェントの出力、プラグイン呼び出し、ツール実行はすべて信頼できない実行パスとして扱われ、進行前にポリシー評価を受けます。これにより、「エージェントを正しく設定して期待する」のではなく、「エージェントの挙動に関係なく実行層で境界を強制する」セキュリティモデルに転換します。

Agent Control Specificationsは、エージェントが許可されている行動、呼び出し可能なツール、到達可能な外部エンドポイントを記述する可搬性のあるポリシー定義です。仕様はエージェント実装から分離されており、可監査・バージョン管理・エージェント本体の修正なしに更新可能です。これにより、エージェントガバナンスを埋め込みコードの問題ではなく、構成管理の課題として扱います。

ASSERT(Adversarial Stress and Security Evaluation for Resilient Thinking)は、7つの失敗モードすべてを攻撃的なテスト環境で運用化し、セキュリティチームが導入済みエージェントに対して脆弱性を特定できるようにします。

従来のセキュリティコントロールが不十分な理由

ユーザーがSaaSプラットフォームにログインする際は、認証情報を入力し、多要素認証を通過し、定義されたセッション内で操作します。監査ログにはアクセスしたファイルが記録されます。しかし、AIエージェントはこれらを明確に行いません。非同期で動作し、数百回のツール呼び出しを人間の介入なしに実行します。リクエストを連鎖させ、ある情報源から取得したデータを別のクエリに利用します。ユーザーのセッションが数時間前に終了していても、その代理として動作します。

ゼロトラスト・アーキテクチャは「決して信頼せず、常に検証する」という正しい概念を提供しますが、人間向けに設計された検証メカニズムは、連続的な認可が必要な非同期エージェントには適用しきれません。MicrosoftのExecution ContainerとAgent Control Specificationsは実行層をカバーします。データ層、すなわちエージェントが取得・処理・送信できる機密コンテンツを管理するには、ランタイムの封じ込めを超えた専用のコンテンツガバナンスフレームワークが必要です。

規制業界におけるコンプライアンスリスク

Microsoftが命名した7つの失敗モードは、単なるセキュリティ脅威ではなく、特定カテゴリの機密コンテンツの取り扱いを規定するフレームワーク下でのコンプライアンス違反となる可能性があります。

CMMC 2.0の対象となる防衛請負業者の場合、AIエージェントがプロジェクト管理システムからCUIを取得し、MCP連携を通じて外部ツールに送信した場合はCMMCコンプライアンスイベントとなります。同じ論理はHIPAAにも当てはまります。AIエージェントのコンテキストでPHIが流れる場合、アクターが人間かAIかに関わらずアクセス制御と監査要件が適用されます。GDPRはデータ最小化を追加します。エージェントがタスクに必要以上のデータを取得すると、その運用方法だけでGDPRの最小化要件に違反する可能性があります。

規制業界のエンタープライズは、AIエージェントガバナンスを既存のコンプライアンス義務とは別のプログラムとして扱うことはできません。人間による規制コンテンツへのアクセスを管理するのと同じデータ分類、アクセス制御、監査ログ、伝送セキュリティを、AIエージェントのアクセスにも拡張する必要があります。

AIエージェントのためのゼロトラスト・コンテンツガバナンス層の構築

Kiteworks Secure MCP Serverは、Kiteworksが管理するコンテンツへのAIエージェントアクセスをポリシー強制ポイントでラップします。エージェントが到達可能な場所から直接コンテンツを取得するのではなく、Secure MCP Serverが各リクエストを明示的なアクセス方針に照らして評価し、データがエージェントに流れる前にプロトコルレベルで強制します。これにより、エージェント実装レベルではなくプロトコルレベルでの制御が実現します。

Kiteworks AI Data Gatewayは、これをエンタープライズAIワークフロー全体に拡張し、機密コンテンツリポジトリへのAIクエリに分類認識型のアクセスルールを適用した制御チャネルを提供します。CUI、PHI、その他の規制対象コンテンツは、明示的に処理を許可されたAIエージェントのみがアクセス可能です。すべてのやり取りは改ざん検知可能な監査ログに記録され、SIEMに直接連携されます。これは、CMMC評価者、HIPAA監査人、GDPR監督当局がAIによる機密コンテンツアクセスを調査する際に求めるドキュメントとなります。

Kiteworks Private Data Networkは、このガバナンスをメール、ファイル共有、MFT、SFTP、ウェブフォーム、API全体に拡張し、単一のポリシーエンジンと統合監査ログで管理します。Microsoftは脅威を命名し、実行層の強制ツールを提供しました。残る課題は、各エンタープライズがリスクに見合う成熟したコンテンツガバナンス層を備えているかどうかです。

AIエージェントによる機密コンテンツ侵害から守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

Microsoftの分類には、エージェントサプライチェーンの侵害、ゴールハイジャック、エージェント間信頼エスカレーション、コンピュータ利用エージェントのビジュアル攻撃、セッションコンテキスト汚染、MCP/プラグイン悪用、機能・アーキテクチャ情報の漏洩が追加されました。Microsoftは、7つすべてをレッドチームのカバレッジマトリクスに追加し、エージェントサプライチェーンの棚卸しやエージェントIDの暗号学的検証を推奨しています。Kiteworks Secure MCP Serverは、データがエージェントに到達する前にプロトコル層でポリシーを強制することで、特にMCP/プラグイン悪用に対応しています。

2025年5月、AsanaのMCPサーバ連携により、ある組織のユーザーが他組織のタスクデータ、プロジェクトメタデータ、ファイルを閲覧できる状態になりました。これはMCP連携自体から発生したテナント間データ漏洩であり、外部攻撃者によるものではありません。サーバが2025年6月に停止されるまでに約1,000社が影響を受けました。Microsoftはこの失敗モード(MCP/プラグイン悪用)を最重要攻撃ベクトルとして正式に命名し、MCP導入におけるAIデータガバナンスが理論上ではなく実運用上の課題であることを示す最も明確な証拠となっています。

Execution Containerは、ファイルシステムアクセス、ネットワーク接続、認証情報アクセス、ツール呼び出しに対して、エージェントの設定や指示内容に関係なく実行時に明示的な境界を強制します。Agent Control Specificationsは、許可された挙動を記述する可搬性・可監査性のあるポリシー定義を提供し、エージェント実装とは分離されています。これらは実行層をカバーします。コンテンツ層のガバナンス、すなわちエージェントが取得・処理できる機密データを制御するには、Secure MCP ServerやAI Data Gatewayのような追加コントロールが必要です。

CMMCレベル2のCUIに対するアクセス制御、監査ログ、伝送セキュリティ要件は、AIエージェントに例外を設けません。エージェントがMCP連携を通じてCUIを取得し外部ツールに渡す場合、該当するNIST 800-171の管理策の下で認可・記録・保護されなければなりません。HIPAAも同様で、AIエージェントが処理するPHIもPHIであり、アクセスは記録される必要があります。組織は既存のコンテンツガバナンスプログラムをAIエージェントのアクセスにも明示的に拡張する必要があります。

Secure MCP Serverは、データがリクエスト元エージェントに流れる前にプロトコル層でアクセス方針を強制します。AI Data Gatewayは、機密コンテンツリポジトリへのAIクエリに分類認識型の強制を適用した制御チャネルを提供します。改ざん検知可能な監査ログは、CMMC、HIPAA、GDPRの監査要件に対応し、AIワークフローのゼロトラストデータ保護を理想論ではなく現実の運用にします。

追加リソース

  • ブログ記事
    ゼロトラスト戦略で実現する手頃なAIプライバシー保護
  • ブログ記事
    77%の組織がAIデータセキュリティに失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に中小企業の91%がデータセキュリティでロシアンルーレット状態に
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局はAIポリシーの有無を問う時代を終えました。今求められるのは、その実効性の証明です。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks