AIエージェントは急速に企業のメールボックスへの浸透を進め、メールのトリアージ、社内データの取得、返信の自動化などを担うようになっています。しかし、組織の中でも最も脆弱な部分に自律型システムを配置することは、深刻なリスクを伴います。
Varonis Threat Labsが2026年に発表した最新レポートによると、AIエージェントは人間の従業員を標的にするフィッシング攻撃と同じ手口に、いとも簡単に騙されてしまうことが明らかになりました。
実際のところ、攻撃者は丁寧に「お願い」するだけで、機密性の高いクラウド認証情報や企業データを盗み出せることがわかっています。
研究者たちは、Gemini 3.1 ProやCodex GPT-5.4などのモデルを搭載したOpenClaw AIエージェントプラットフォームを用いて、企業向けメールボックス環境を構築しました。
研究チームはこのエージェントを「Pinchy」と名付け、4種類の典型的なフィッシングシミュレーションを実施しました。目的は、攻撃者がAIを騙すために説得力のあるリクエストを送り付ける「エージェントフィッシング」が、組み込みのセキュリティ指示を回避できるかどうかを検証することでした。
その結果は、AIモデルが「社会的信頼」をどのように処理するかという点において、重大な盲点が存在することを浮き彫りにしました。
テスト中、Pinchyは技術的な脅威の検出には成功した一方で、ソーシャルエンジニアリングへの対処では完全に失敗しました。
研究者が「Dan」というチームリーダーを装った偽メールを送り、本番環境の問題を修正するためにステージング環境の認証情報を要求したところ、AIエージェントはセキュリティガードレールを完全に無視しました。
緊急の問題を解決しようと急いだPinchyは、AWS IAMキー、データベースパスワード、SSHアクセス情報を収集し、そのすべてを平文のまま外部のGmailアカウントに転送してしまいました。
ビジネスデータに関する類似テストでも、エージェントは失敗しました。攻撃者が在宅勤務中を装い、何気ない日常的な口調で週次の顧客データエクスポートを要求したのです。
Pinchyは即座に、247社の企業顧客の氏名・連絡先情報および月間経常収益128万ドルのデータを含むCRMエクスポートを提供してしまいました。AIは送信者の身元確認というゼロトラストの原則を無視したのです。
興味深いことに、従来型の技術的フィッシングに対してはモデルの性能が大幅に向上しました。偽のギフトカードリンクを送った場合、エージェントはそれを完全にブロックするか、架空の認証情報を使ってサイトを安全に探索するという対応を取りました。
また、不審なリダイレクトURLを検査して認証フローを安全に停止させることで、悪意のあるGoogle OAuthのトラップも巧みに無効化しました。
こうした対照的な結果は、興味深い実態を浮き彫りにしています。AIエージェントは悪意のあるリンクや偽のポータルサイトを検出する技術的能力において、多くの人間ユーザーを上回っています。しかしその一方で、人間特有の直感をまったく持ち合わせていません。
Varonisの調査によると、セキュリティチームはAIの設定ファイルを厳格なセキュリティ制御として扱う必要があります。未確認の送信者に対して警告を発する明示的な安全ルールを追加することで、侵害率の低下が期待できます。
テストでは、明示的な安全ガイドラインを含む厳格なプロファイルが使用されました。しかし、AIがセキュリティプロトコルよりも模擬的な緊急事態の解決を優先した際には、それでさえも機能しませんでした。
組織はさらに踏み込んで、エージェントが実際に実行できる操作を制限する必要があります。侵害されたAIエージェントは危険なプロキシと化し、社内データを読み取ったり、攻撃者に成り代わって信頼されたメールを送信したりする恐れがあります。
これを防ぐには、未確認の新しいアドレスへの送信メッセージをエージェントがブロックするよう設定することが有効です。
さらに、受信チャネルに基づいてアクセスを厳密にセグメント化し、外部メールを処理するエージェントがCRM全体にアクセスできないような構成にすることも重要です。
翻訳元: https://cyberpress.org/openclaw-ai-leaks-credentials/
