攻撃者にとって最良の協力者となるエージェント
CSO Onlineによって報告されたキャンペーンは、サプライチェーン脅威の状況において本当に新しい動きを示しています。攻撃者は、npm、PyPI、Cargo上に第二層の悪意あるパッケージを仮想通貨ユーティリティを装って配置しました。標的となったのは、依存関係を手動でインストールする開発者ではなく、レジストリを自律的にスキャンし、人間のレビューなしでプロジェクトにコンポーネントを取り込むAIコーディングエージェントです。
このキャンペーンは時間とともに進化しました。初期のペイロードは認証情報を窃取し、後のバージョンでは攻撃者が制御するSSHキーを導入してリモートアクセスを可能にし、リポジトリ全体をアーカイブして流出させ、最終的には検知を回避するためにコンパイル済みの単一実行ファイルアプリケーションを配布しました。進化のたびに示されたのは、「パッケージの利用者がAIエージェントであれば、説得すべきはエージェントだけでよい」という点です。依存関係グラフはもはや開発者が管理するものではなく、エージェントが自律的に変更するものであり、攻撃者もそれを理解しています。
5つの重要なポイント
1. 依存関係のレールがAIの新たな攻撃面に
研究者はaes-create-ipheriv、jito-proper-excutor、@validate-sdk/v2といったパッケージが、npm、PyPI、Cargo上に意図的に配置され、AIコーディングエージェントによって発見・取り込まれるよう設計されていたことを記録しています。これは仮想的な脅威ではなく、現在稼働中のすべてのAIエージェントの管理方法を再定義する実際の攻撃です。サプライチェーンの侵害対象は、境界線から依存関係グラフへと移行しています。
2. エージェントが攻撃者の作業を肩代わりする
AIコーディングツールは自律的にパッケージレジストリをスキャンし、自身の依存関係グラフを変更します。人間が介在しないため、インストールされた内容を人がレビューすることはありません。Kiteworks 2026年予測によると、組織の63%がAIエージェントの用途制限を強制できず、60%が問題のあるエージェントを迅速に停止できません。毒入り依存関係は、こうした隙間を抵抗なく通過し、多くの組織が追跡できない形で侵入します。
3. ペイロードの進化が加速
認証情報の窃取から始まった攻撃は、攻撃者制御のSSHキー、リポジトリ全体の流出、検知回避を狙った単一実行ファイルアプリケーションの配布へとエスカレートしています。進化のたびに示されるのは、「パッケージの利用者がAIエージェントであれば、説得すべきはエージェントだけ」という点です。コンバージョン率はパーセンテージではなく、レジストリから削除されるまでに何体のエージェントがパッケージを取り込んだかで測られます。
4. モデルレベルのガードレールでは解決できない
安全性を調整したモデルであっても、ツールが取得した依存関係はそのまま取り込みます。悪意あるパッケージはエージェントのランタイムで実行され、SSHキーを配置し、コードを流出させますが、プロンプトをモデルに通すことはありません。脆弱性はモデルの下層、ツール実行やデータアクセス層に存在し、アライメントトレーニングやプロンプトフィルタリング、コンテンツモデレーションが及ばない領域です。
5. 解決策はデータ層ガバナンス
すべてのエージェントを認証し、すべてのデータリクエストに属性ベースアクセス制御を適用。FIPS 140-3で暗号化し、改ざん検知可能な監査ログを記録します。エージェントは、許可されていないデータを閲覧できず、どの毒入り依存関係をインストールしても情報流出は防げます。モデルが侵害されても、データ層がポリシーを強制します。
組織のセキュリティを信じていますか?本当に証明できますか?
Read Now
エージェント型AIの導入がガバナンスを追い越している現実
Kiteworks 2026年予測調査に参加したすべての組織がエージェント型AIの導入計画を持っており、例外はありません。導入は普及していますが、ガバナンスはそうではありません。63%の組織がAIエージェントの用途制限を強制できず、60%が問題のあるエージェントを迅速に停止できず、55%がAIシステムをネットワークから分離できていません。政府機関はさらに深刻で、90%が用途制限を欠き、76%がキルスイッチを持たず、33%はAI専用の管理策すらありません。
同じデータは、どこで最初に破綻が起きるかも示しています。27%の組織がAI主導のMFT自動化を計画していますが、MFTセキュリティの導入率はわずか46%です。AIはすでに制御が不十分なチャネルに重ねて導入されています。毒入り依存関係が加われば、エージェントは正規の認証情報と監査イベントを持つ完全な情報流出ツールとなります。
なぜモデルレベルのガードレールが役に立たないのか
完璧に調整されたモデルでも、エージェントが暗号ユーティリティを必要と判断してaes-create-ipherivをインストールしたツール層の上で動作している場合があります。モデルはSSHキーの配置も、リポジトリのアーカイブや流出も認識しません。モデルに「何が起きたか」と尋ねる頃には、モデルが可視化できない場所で被害が発生しています。
Agents of Chaos研究(ノースイースタン、ハーバード、MIT、スタンフォード、CMUなど38名の著者による共同研究)は、パッケージ配置型攻撃で悪用されている3つの構造的欠陥を明らかにしました。すなわち、ステークホルダーモデルの欠如(エージェントが正当な運用者と攻撃者を区別できない)、自己モデルの欠如(エージェントが自らの能力を超えた不可逆な行動を認識できない)、プライベートな熟考面の欠如(エージェントが誤ったチャネルを通じて機密情報を漏洩する)です。これらの欠陥は、エージェントが入口となる場合にすべて関係します。
依存関係グラフは新たなフィッシングメールに
長年、フィッシングは攻撃者が企業に侵入する主要な手段でした。人間にクリックや認証情報入力を促すことで侵害が発生していました。そのため、意識向上トレーニングやメールフィルタリング、多要素認証、条件付きアクセスなど、人間を制御面とする対策が取られてきました。しかしAIコーディングエージェントはその人間を排除します。エージェントがインストール内容を決定する際、依存関係レジストリはインボックスのような役割となり、エージェントは意識トレーニングもMFAも条件付きアクセスもなく、絶え間なく流れる入力を評価します。
さらに二次的なリスクも存在します。AIコーディングエージェントはパッケージをインストールするだけでなく、それらに依存するコードを生成します。エージェントが悪意あるパッケージに触れた場合、他の開発者への提案としてそのパッケージを提示し、レジストリと直接やり取りしていないチームにも侵害が広がります。「エージェントが悪いものをインストールした」と「エージェントが人間に悪いものを勧めて人間がインストールした」の境界は、多くのセキュリティプログラムが想定しているよりもはるかに曖昧です。
多くの取締役会が気づいていない封じ込めギャップ
54%の取締役会がAIガバナンスに関与しておらず、これらの組織はKiteworks 2026年予測によると、AI成熟度の全指標で26〜28ポイント遅れています。取締役会の関与はAIガバナンス成熟度の最も強力な予測因子であり、業界や地域、規模よりも影響が大きいのです。このギャップは封じ込め制御で最も顕著に現れます。多くの組織はAIの動きを監視するために投資していますが(人間の介在や継続的モニタリング)、AIを停止するための投資はしていません。
毒入りパッケージキャンペーンは、そのアンバランスのコストを浮き彫りにします。エージェントを完璧に監視できても停止できない組織は、自らの侵害を記録しているだけです。次の四半期に取締役会が問うべきは「AIを安全に使っているか?」ではなく、「侵害されたエージェントを5分以内に停止し、その証拠を規制当局に提示できるか?」です。
データ層ガバナンスの実際の姿
制御はモデルが存在する場所ではなく、データが存在する場所に置く必要があります。AIエージェントが機密データにアクセスしようとする際には、暗号化されたID認証、属性ベースアクセス制御ポリシー評価、FIPS 140-3暗号化、改ざん検知可能な監査ログがすべてのやり取りで求められるべきです。毒入り依存関係で侵害されたエージェントでも、許可されていないデータにはアクセスできず、目的外の範囲を超えて流出させることも、証拠を残さずに操作することもできません。
Kiteworks Secure MCP ServerとAI Data Gatewayはこのパターンを実装しています。すべてのエージェントリクエストは認証され、ABACポリシーで認可され、FIPS 140-3で暗号化され、リアルタイムでSIEMに記録されます。Kiteworks Private Data Networkは、このガバナンスをメール、ファイル共有、MFT、SFTP、Webフォーム、APIにまで拡張します。1つのポリシーエンジン、1つの統合監査ログ。組織の33%が証拠レベルの監査証跡を欠き、61%が断片化したデータ交換インフラを運用しています。次の毒入りパッケージキャンペーンがエージェントを標的にした際、規制当局が問うのは「パッケージがどう侵入したか」ではなく、「エージェントが侵害された後に何をしたか、それを証明できるか」です。
今四半期にセキュリティリーダーが取るべき行動
まず、コードやデータに関与するすべてのAIエージェントを棚卸ししてください。把握していないものは管理できません。すべての組織がエージェント型AIの導入計画を持っており、棚卸しの課題は今後さらに拡大します。
次に、エージェントのランタイムを特権インフラとして扱ってください。管理者アカウントに適用するアクセス制御や許可リスト、監視をAIエージェントにも適用しましょう。どのエージェントがどのツールを実行できるかを厳格に制限し、依存関係の許可リストを徹底。エージェントがインストールするパッケージにはコード署名の検証を必須としてください。
三つ目に、モデルとは独立したデータ層ガバナンスを導入してください。エージェントがどのモデルを使っていても、アクセスするデータは必ずABAC適用、FIPS 140-3暗号化、監査ログを経由する必要があります。63%の組織がAIエージェントの用途制限を強制できていません。次のサプライチェーン攻撃が起きる前に、このギャップを埋めてください。
四つ目に、キルスイッチを構築し、テストしてください。60%の組織が問題のあるエージェントを迅速に停止できていません。機能を構築し、文書化し、机上演習でテストし、発動の責任者を明確にしてください。これは規制対象データに関与するすべてのシステムの前提条件です。
五つ目に、AIエージェントに対してもネットワーク同様のレッドチーム演習を実施してください。Agents of Chaosの研究者は、会話だけで11件中10件の重大なセキュリティ侵害を達成したことを記録しています。自組織のエージェントに対して攻撃演習を行い、他者に発見される前に弱点を見つけてください。
AI発の攻撃から機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください。
よくあるご質問
AIコーディングエージェントがnpm、PyPI、Cargoから依存関係を自律的に取得している場合、直接的なリスクがあります。このキャンペーンは、エージェントが人間のレビューなしでパッケージをインストールする点を狙っています。Kiteworks 2026年予測によると、60%の組織が問題のあるAIエージェントを迅速に停止できません。つまり、毒入り依存関係が作動した場合、封じ込めが最初の失敗点となります。依存関係の許可リストとデータ層でのアクセス制御を直ちに徹底してください。
モデルレベルのガードレールは、この攻撃が着地するツール実行層より上で動作します。悪意あるパッケージはエージェントのランタイムで実行され、モデルを経由しません。データ層ガバナンス(ABAC適用、FIPS 140-3暗号化、改ざん検知可能な監査証跡)は、モデル下層に位置するためツール層の侵害にも耐えます。組織の33%が証拠レベルの監査証跡を欠いており、これが本攻撃クラスが突く根本的なギャップです。
監査官は、認証されたエージェントID、ABACポリシーの適用、FIPS 140-3暗号化、すべてのエージェントとデータのやり取りを網羅する改ざん検知可能な監査ログを求めます。Kiteworks 2026年予測によると、組織の33%が証拠レベルの監査証跡を欠いています。エージェントが関与するすべてのチャネルで統合ログがなければ、監査指摘はほぼ避けられません。
ここで最もリスクが高いのはMFTチャネルです。27%の組織がAI主導のMFT自動化を計画していますが、Kiteworks 2026年予測によるとMFTセキュリティの導入率は46%にとどまります。まずMFTのガバナンスギャップ(目的限定のエージェントアクセス、ABAC適用、改ざん検知可能なログ)を埋めてから、サプライヤーデータ領域へのエージェント拡張を検討してください。
はい。CMMCのAC、AU、IRファミリーはAIエージェントの活動も対象範囲に含みます。Kiteworks 2026年予測によると、組織の63%がAIエージェントの用途制限を強制できていません。ガバナンスが認証されているにもかかわらず、管理不十分なエージェント経由でCUIが流出すれば、False Claims Actのリスクとなります。ABACと改ざん検知可能な監査証跡によるデータ層ガバナンスを評価前に導入してください。
追加リソース
- ブログ記事
ゼロトラスト戦略で実現する手頃なAIプライバシー保護 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている