AIエージェントが最大のインサイダー脅威になりうる理由

政府機関、サイバーセキュリティ企業、脅威リサーチャーたちは、急速に発展するAIツールが悪意ある攻撃者によってどのように悪用されうるかを研究するために、多くのリソースを投じています。

しかし、エージェント型AIが企業インフラに深く組み込まれるにつれ、悪意を持った内部関係者、あるいはセキュリティ管理の不備からくる不注意によって、このツールが侵害の引き金となる可能性も高まっています。

CyberScoopに独占提供された調査レポートの中で、DTEXの研究者たちは、企業環境で広く使われているAnthropicの「Claude Cowork」における一般的なワークフローを詳細に分析しています。このワークフローはAIエージェント展開の利便性を高める一方、システムへのほぼ全権的なアクセスを付与することも明らかになりました。

Claude Coworkには、ユーザーがエージェントをリモート操作できるツールが含まれています。中でも「Dispatch」と呼ばれるツールは、ユーザーのスマートフォンからデスクトップのClaudeエージェントへコマンドを中継します。また、データへのアクセスや転送を行うSalesforce AIエージェントとの連携プラグインも備えています。

DTEXの研究者たちは2つのシナリオを検証しました。1つ目は、Salesforceから情報を要約してOutlookのメール下書きに貼り付けるようClaudeに指示するもの。2つ目は、選択したファイルをアーカイブしてCoworkアプリ経由で転送する作業をエージェントに実行させるものです。

いずれのケースでも、研究者たちはシンプルな単一ターンのプロンプトを使用し、データ窃取の準備にかかった時間はわずか10〜30分でした。

DTEXのインサイダー脅威インテリジェンス＆イノベーション担当ディレクターのAlex Desmond氏は、フロンティアモデルの性能向上とAIツールのITネットワーク運用への深い統合が相まって、防御側が侵害に対応できる時間が大幅に短縮されていると語っています。

「サイバー攻撃における攻撃者の実行時間という観点で言うと、ランサムウェアを展開するまでのキルチェーンが、今では攻撃内容によって30分、場合によっては10分にまで短縮されています」とDesmond氏は述べています。「半年前は、それが数時間かかっていたのです。」

しかし、この速さが業務ネットワークやクラウドサービスへの直接アクセスと組み合わさると、悪意ある攻撃者とテクノロジーを使う正規の従業員によるミスの両方を監視しなければならない組織にとって、インサイダー脅威の悪夢となりかねません。

ここ数年、欧米のITおよびサイバーセキュリティ企業には、北朝鮮政府のために秘密裏に働く求職者が大量に押し寄せています。彼らの給与は国際制裁の回避や平壌の核開発プログラムの資金に充てられており、同時に企業の機密データや資産にアクセスし、窃取できる立場に就くことを可能にしています。

「国家の脅威アクターが、正規の手段で組織の環境に侵入しているわけです」とDesmond氏は言います。「そこにAIツールへのアクセスまで与えてしまったら……『全ての鍵と、あなたの仕事、つまり私たちのデータを盗む作業を格段に楽にしてくれる最強のツール』を渡すようなものです。」

たとえば、組織がプロンプトのログ記録と監査を実施していなければ、AIエージェントが関与したデータ侵害や情報漏洩がどのように発生したか、また、それがエージェントの誤動作によるものなのか、悪意ある指示への応答によるものなのかを特定できない可能性があります。

ネットワークやクラウドの監視によって、SharePointからデータがアクセス・ダウンロードされていることは検知できます。しかし、それだけでは防御側が異常として認識するには十分なシグナルにならない場合もあります。

「あるユーザーの通常業務がローカルでの作業のために常に機密ファイルを手元に落とすというものであれば、エンドポイント監視がなく、そこにAIエージェントを導入した瞬間、エージェントはそのデータすべてに、さらにはそれを外部に持ち出す能力まで持つことになります」とDesmond氏は警告しています。