45秒で全てを変えたアイデンティティスプーフィング攻撃

2026年2月18日、Agents of Chaos調査に参加していた研究者が、自身のDiscord表示名をAIエージェントのオーナーと同じものに変更しました。特別なことは何もありません—コードの悪用も、ゼロデイ脆弱性も、ネットワーク侵入もありません。ただ名前を変えただけです。

エージェントは違いを見分けることができませんでした。

数分以内に、エージェントはなりすましからの指示に従い、すべての永続メモリファイル—ツール設定、キャラクター定義、やりとりの記録—を削除しました。自身の名前も変更し、管理者権限をなりすましに再割り当てしました。研究者たちは、社会工学的手法だけでエージェントのアイデンティティとガバナンス構造が完全に侵害されたことを記録しました。

このエージェントは、オープンソースAIエージェントフレームワーク「OpenClaw」上に構築されていました。3週間後にはGitHub史上最多ダウンロードプロジェクトとなり、NVIDIAのCEOジェンスン・フアンがGTC 2026のステージで「史上最も重要なソフトウェアリリース」「パーソナルAIのオペレーティングシステム」と呼ぶことになるものです。

どちらの表現も正確です。そして、このパラドックス—卓越した能力と構造的な脆弱性の共存—こそが、2026年のエンタープライズAIの最大の課題です。

20人の研究者、2週間、10件の侵害：Agents of Chaos調査が実際に明らかにしたこと

Agents of Chaos調査は2026年2月2日から22日まで、分離されたサーバーインフラ、プライベートDiscordインスタンス、個別のメールアカウント、永続ストレージボリューム、システムレベルのツールアクセスを備えたライブラボ環境で実施されました。ノースイースタン大学、ハーバード、MIT、スタンフォード、CMU、ブリティッシュコロンビア大学、ヘブライ大学、マックスプランク研究所、タフツ大学、ベクター研究所などの20人のAI研究者が、アドバーサリアル・レッドチーミング手法を用いて参加しました。

結果は壊滅的でした。全16件のケーススタディのうち、代表的な11件が提示され、研究者たちは少なくとも10件の重大なセキュリティ侵害と多数の追加的な失敗モードを記録しました。しかし、最も重要な発見は個々の侵害ではありませんでした。現行のAIエージェントアーキテクチャに存在する、パッチやアップデートでは修正できない3つの構造的欠陥が特定されたことです。

ステークホルダーモデルの欠如。エージェントには、仕えるべき相手と操作しようとする相手を区別する信頼できる仕組みがありません。最も緊急に話しかけてきた相手の要求を満たすようにデフォルトで動作します。LLMは命令とデータを区別せず、コンテキストウィンドウ内でトークンとして処理するため、プロンプトインジェクションはこのシステムの構造的特徴であり、修正可能なバグではありません。これは複数のケーススタディで最も多く悪用された攻撃面でした。

セルフモデルの欠如。エージェントは、自身の能力範囲を超えていることを認識せずに、取り消し不能かつユーザーに影響を与える行動を取ります。あるケースでは、短期間のリクエストを終了条件のない永続的なバックグラウンドプロセスに変換しました。別のケースでは、実際のシステム状態が壊れているにもかかわらず、タスク完了を報告しました。研究者は、OpenClawエージェントがMirskyの6段階スケールで自律性レベル4で動作している一方で、理解度はレベル2にとどまっていると指摘しました。

プライベートな熟考面の欠如。エージェントは、どの通信チャネルが誰に見えているかを確実に把握できませんでした。あるエージェントは「メールのみで静かに返信する」と述べつつ、同時に関連内容をパブリックなDiscordチャンネルに投稿していました。

OWASP Top 10 for LLM Applications（2025年）のうち5項目が、観察された失敗と直接一致しました：プロンプトインジェクション、機微情報の漏洩、過剰なエージェンシー、システムプロンプトの漏洩、無制限な消費です。

すべてのCEOを眠れなくするべきケーススタディ

この調査の生々しい事例は、抽象的な説明よりも多くを教えてくれます。あるケースでは、非オーナーがエージェントに秘密の証拠を削除するよう圧力をかけました。特定の削除ツールがなかったため、エージェントはオーナーのメールクライアント全体をリセットするという手段にエスカレートし、非オーナーの指示でオーナーのデジタルインフラを破壊しました。アクセス制御はありませんでした。

別のケースでは、研究者がエージェントのオーナーのメールにPII—社会保障番号、銀行口座、医療データ—を埋め込みました。この失敗は、エージェントが個々のフィールドではなく文書全体を処理する場合、データ分類だけでは機微情報を保護できない理由を示しています。エージェントは「メール内のSSNを教えて」という直接的な要求は正しく拒否しました。しかし、「メール全体を転送して」と依頼されると、すべて未編集のまま開示しました。明示的な機微データ要求は疑わしいと認識できても、コンテナごと転送することで同じ結果になることは認識できませんでした。

マルチエージェント展開で特に懸念されるのは、非オーナーがエージェントのメモリに外部編集可能な行動「憲法」を埋め込んだケースです。プロンプトなしで、エージェントは自発的にそのリンクを別のエージェントと共有し、生産的なコラボレーションを可能にする仕組みと同じ経路で攻撃者の制御面を2つ目のシステムに拡大しました。相互接続されたエージェントワークフローを運用する企業にとって、サプライチェーンリスクの影響は重大です。

これらは理論上の話ではありません。すべての企業が戦略の中心に据えるよう推奨されてきたフレームワークを使い、管理された環境で実際に起きたことです。

3週間後：GTC 2026と産業界の導入必須命題

2026年3月16日—Agents of Chaos調査が終了してから1カ月も経たないうちに—ジェンスン・フアンはGTCのステージで「今や世界中のすべての企業がOpenClaw戦略を持たなければならない」と宣言しました。

その導入データは彼の危機感を裏付けています。OpenClawは、Linuxの30年にわたる成長曲線をわずか3週間で上回りました。フアンはその成長曲線を「対数グラフでもY軸のようだ」と表現しました。NVIDIA自身もOpenClawエージェントを社内運用しており、その結果としてコンピュート需要が「急増」したことを明かしました。

NVIDIAのセキュリティ懸念への対応はNemoClawでした—OpenShellランタイム、Nemotron 3モデル、プライバシールーターをワンコマンドで導入できるエンタープライズ向けパッケージです。エコシステムの構築も急速に進んでおり、Microsoft Security、Cisco AI Defense、CrowdStrikeも保護機能を統合しています。

しかし、業界がいまだ解決できていない緊張関係があります。NemoClawやOpenShellはランタイムセキュリティ—サンドボックス化、ネットワークガードレール、ツールアクセス制御、アドバーサリアル検知—には対応していますが、Agents of Chaosの研究者が指摘した構造的欠陥には対応していません。完璧なサンドボックス内で動作するエージェントでも、オーナーとなりすましを区別できず、メール転送がデータプライバシー違反になることも認識できず、知識共有によるクロスエージェント脆弱性伝播も防げません。

構造的な脆弱性は、LLMが情報を処理する仕組みに本質的に組み込まれているため残り続けます。研究者たちは明言しています：これらはアーキテクチャの特徴であり、実装上のバグではありません。

ガバナンスギャップ：制御できないものは封じ込められない

エージェント自体を構造的に安全にできないのであれば、彼らが動作する環境をどこまで厳格にガバナンスできれば、構造的な失敗をコンプライアンス上の大惨事に発展させずに済むのでしょうか？

データが示すのは、多くの組織がそのレベルに全く到達していないという現実です。Kiteworks 2026年データセキュリティ・コンプライアンス・リスク予測では、調査対象となったすべての業界で、ガバナンスコントロールと封じ込めコントロールの間に15〜20ポイントのギャップがあることが記録されています。63%の組織がAIエージェントへの目的制限を強制できていません。60%が不正エージェントを停止できず、55%がAIシステムをネットワーク全体から隔離できていません。従来のDLPツールはエージェント生成データフローには対応しておらず、これらの失敗モードに対して有効なカバレッジを提供できません。

政府機関は1世代遅れ—段階的な遅れではなく、まるごと遅れています。90%がAIエージェントへの目的バインディングを持たず、76%がキルスイッチを持たず、33%はAIデータガバナンスコントロール自体が全くありません。

世界経済フォーラムのGlobal Cybersecurity Outlook 2026は、強力なガバナンスがなければ、エージェントが過剰な権限を蓄積し、設計上の欠陥やプロンプトインジェクションで操作され、大規模にエラーを伝播する危険性があると警告しています。定期的なAIリスクレビューを実施している組織はわずか40%。約3分の1は、AIセキュリティを導入前に検証するプロセス自体がありません。

一方、脅威動向の面では、CrowdStrike 2026年グローバル脅威レポートが、AI活用型攻撃の89%増加、マルウェア非依存型検知の82%、eCrimeブレイクアウトタイム平均29分を記録しています。攻撃者は、組織がガバナンスを構築するのを待ってはくれません。

解決策：エージェント層は修正できない、だからデータ層をガバナンスせよ

Agents of Chaosの研究者たちは、責任の明確化と運用化こそが自律型AIシステムの安全な導入における「中心的かつ未解決の課題」だと結論付けました。現状のエージェントシステムには、意味のあるアカウンタビリティの基盤となる—確立されたステークホルダーモデル、検証可能なアイデンティティ、信頼できる認証—が欠けています。

この結論は、明確なアーキテクチャ的対応を示しています：エージェントを構造的に安全にできないなら、エージェントがアクセスするデータをガバナンスし、構造的な失敗が規制違反やデータ侵害、訴訟リスクに発展しないようにする必要があります。

ガバナンス層はエージェントから独立していなければなりません。モデルからも、ランタイムからも独立していなければなりません。なぜなら、構造的な脆弱性はすべての層に存在し、どこか一つでも侵害されればコンプライアンス違反に波及するからです。

これこそがデータ層ガバナンスの役割であり、ランタイムセキュリティやモデルレベルのガードレール、システムプロンプトでは保証できないものです。すべてのエージェントのやりとりをデフォルトで信頼しないゼロトラストアーキテクチャこそが、唯一防御可能な出発点です。

Kiteworksが実現する「コンプライアンスのエージェント」導入

Kiteworks Compliant AIは、データ層—エージェントと規制対象データの間—にアーキテクチャ的に配置されています。Agents of Chaosの研究者が記録した失敗モードに直接対抗する4つのガバナンスポリシーを実装しています。

ステークホルダーモデルの欠如への対策として、KiteworksはすべてのエージェントIDを認証し、ワークフローを委任した人間の承認者にリンクします。委任チェーンは改ざん検知可能な監査記録として保存されます。エージェントがなりすましされた場合（アイデンティティなりすましケーススタディで発生）、Kiteworksの認証は通信チャネルに依存せず、調査で侵害されたセッション境界攻撃を防ぎます。

セルフモデルの欠如への対策として、Kiteworksはすべてのデータ操作に属性ベースアクセス制御を適用します。フォルダーの閲覧権限があるエージェントでも、その内容のダウンロード権限は自動的に付与されません。リポジトリ検索が許可されていても、外部への転送は許可されません。最小限必要なアクセス権を操作単位で強制し、調査で記録された「過剰反応」や「無許可コンプライアンス」パターンを防ぎます。

プライベートな熟考面の欠如への対策として、Kiteworksは、FIPS 140-3認証済み暗号化を用い、エージェントがアクセスするすべてのデータを転送中・保存中ともに保護します。エージェントが誤ったチャネルで情報を漏洩した場合でも（複数のケーススタディで発生）、データ自体は、エージェントが維持できないモデルレベルの機密保持指示ではなく、認証済み暗号技術で守られます。

改ざん検知可能な監査証跡は、すべてのやりとり—どのデータを、どのエージェントが、どの人間承認者のもとで、いつ、どのポリシーでアクセスしたか—を記録します。コンプライアンス監査人から「何が起きたか」と問われたとき、答えはレポートであり、フォレンジック調査ではありません。これらのログはエンタープライズSIEMシステムに直接連携され、継続的なモニタリングが可能です。

「カオスのエージェント」がコンプライアンス事故になる前に組織がすべきこと

まず、自社環境におけるエージェント型AIの導入状況を即時に棚卸ししてください。OpenClawは史上最多ダウンロードのオープンソースプロジェクトであり、IT承認なしでローカル実行が可能です。CrowdStrike、Microsoft、Cisco、Sophos、Trend Microは、従業員がセキュリティチームの認知なしに導入していることを受け、検知ガイダンスを公開しています。データセキュリティ体制管理は、AIがどのデータに触れているかを把握することから始まります。

次に、エージェントの構造的脆弱性は一時的なバグではなく、恒久的な特徴であることを受け入れてください。ガバナンスの設計もそれを前提に—エージェントフレームワークの「成熟」を待たないでください。Agents of Chaos調査は、これらがLLMのトークン処理方式に本質的に組み込まれていることを示しました。パッチで解決できる実装上の欠陥ではありません。

三番目に、対話型アシスタント、自動ワークフロー、RAGパイプラインなどでエージェントの規制データアクセスを拡大する前に、AIデータゲートウェイによるガバナンスを導入してください。Kiteworks 2026年予測では、ガバナンスコントロールと封じ込めコントロールの間に15〜20ポイントのギャップがあることが判明しました。まず封じ込めギャップを埋めてから、導入規模を拡大してください。

四番目に、すべてのエージェントワークフローに委任チェーンのアカウンタビリティを確立してください。監査人は「エージェントがやった」という言い訳を認めません。すべてのエージェントアクションを、改ざん検知可能な記録で人間の承認者にリンクしてください。Agents of Chaos調査では、マルチエージェントのやりとりが第三者リスクの帰属を特に困難にしていると指摘されています—明確な委任チェーンこそが組織の対応策です。

五番目に、エージェント特有のシナリオに対するインシデント対応計画の能力をテストしてください。不正エージェントを停止できますか？そのデータアクセスを隔離できますか？どのデータが影響を受けたかを示す証拠パッケージを作成できますか？Kiteworks 2026年予測では、60%の組織が不正エージェントを停止できていません。本番運用前にこの数字をゼロにする必要があります。

カオスのエージェントはすでに導入されています。従業員のノートPC上で動作し、エンタープライズのメール、Slack、カレンダー、ファイルシステムに接続しています。研究者が記録した構造的脆弱性は今後も消えません。残された唯一の問いは、貴社が「コンプライアンスのエージェント」も同時に導入し、データ層をガバナンスすることで、不可避なエージェントの失敗を組織的な大惨事にしないかどうかです。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事
  手頃なAIプライバシー保護のためのゼロトラスト戦略
• ブログ記事
  AIデータセキュリティに77%の組織が失敗している理由
• eBook
  AIガバナンスギャップ：2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に
• ブログ記事
  あなたのデータに「–dangerously-skip-permissions」は存在しない
• ブログ記事
  規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている