コンテンツにスキップするには Enter キーを押してください

研究者がPoCがAtlassianのAIエージェントプロトコルを悪用した後の「AIを利用した攻撃」に警告

投稿日 2025年6月21日

AIエージェントはITチケッティングサービスに大きな可能性をもたらしますが、新たなリスクも伴います。

Cato Networksの研究者たちは、サービスデスクソリューションプロバイダーであるAtlassianがリリースした新しいAIエージェントプロトコルが、Jira Service Management(JSM)を通じて悪意のあるサポートチケットをプロンプトインジェクションで提出する攻撃者を可能にする可能性があることを明らかにしました。

Catoのチームによって実施されたこの概念実証(PoC)攻撃は、「AIを利用した攻撃」と名付けられました。

研究者たちは、6月19日にCato CTRL脅威研究チームがInfosecurityに独占的に共有した新しいレポートで、PoC攻撃の技術的概要を説明しました。

MCP、新しい標準AIエージェントプロトコル

2025年5月、Atlassianは企業のワークフローにAIを組み込む独自のModel Context Protocol(MCP)サーバーを立ち上げました。

MCPは、いくつかの生成AIモデルとAIチャットボットClaudeのメーカーであるAnthropicによって2024年11月に導入されたオープンスタンダードです。

MPCサーバーは、モデルの操作内でコンテキスト情報を管理および活用するために使用されます。

MCPアーキテクチャは、ローカルで実行されるMCPホストといくつかのMCPサーバーで構成されています。エージェントとして機能するホストは、AI駆動のアプリケーション(例:Claude Desktop)、デバイスで実行している大規模言語モデル(例:Claude Sonnet)、またはMicrosoftのVisual Studioのような統合開発環境(IDE)である可能性があります。

AtlassianのMCPは、JSMおよびConfluence全体でのチケット要約、自動返信、分類、スマート推奨など、AI駆動のアクションを可能にします。

また、サポートエンジニアや内部ユーザーがネイティブインターフェースから直接AIと対話することも可能にします。

「AIを利用した攻撃」の説明

Cato CTRLの研究者たちは、AtlassianのMCP資産を使用して、JSMを介して接続された匿名の外部ユーザーが、以下を含む一連の悪意のある行動を実行できることを示すために、Atlassian JSMでPoC攻撃を実施しました:

  • ケースを提出することでAtlassian MCPの対話をトリガーし、その後、Claude SonnetのようなMCPツールを使用してサポートエンジニアによって処理され、悪意のあるフローが自動的に起動される
  • サポートエンジニアに、Atlassian MCPを介して注入された指示を知らずに実行させる
  • 外部の脅威アクターに見えるべきでないJSMからの内部テナントデータにアクセスする
  • サポートエンジニアが接続しているテナントからデータを抽出し、単に抽出されたデータをチケット自体に書き戻すことでデータを流出させる

典型的な攻撃チェーンは次のように展開されます:

  1. 外部ユーザーが細工されたサポートチケットを提出する
  2. テナントにリンクされた内部エージェントまたは自動化がMCP接続されたAIアクションを呼び出す
  3. チケット内のプロンプトインジェクションペイロードが内部特権で実行される
  4. データが脅威アクターのチケットに流出するか、内部システム内で変更される
  5. サンドボックス化や検証がないため、脅威アクターは内部ユーザーをプロキシとして効果的に使用し、完全なアクセスを得る

「特に、このPoCデモでは、脅威アクターは直接Atlassian MCPにアクセスしませんでした。代わりに、サポートエンジニアがプロキシとして機能し、知らずに悪意のある指示を実行しました」とCato CTRLの研究者たちは述べました

Jira Service Managementを介したプロンプトインジェクション。出典 Cato CTRL脅威研究
Jira Service Managementを介したプロンプトインジェクション。出典 Cato CTRL脅威研究

Atlassianが「AIを利用した攻撃」を実証するために使用された一方で、Catoの研究者たちは、AIがプロンプトの隔離やコンテキスト制御なしに信頼できない入力を実行する環境はすべてこのリスクにさらされていると考えています。

「私たちが示したリスクは特定のベンダーに関するものではなく、パターンに関するものです。MCPで外部入力フローがチェックされずに放置されると、脅威アクターはその経路を悪用して認証なしで特権アクセスを得ることができます」と彼らは述べました。

「多くの企業は、MCPサーバーが外部向けシステムと内部AIロジックを接続してワークフローの効率と自動化を向上させる類似のアーキテクチャを採用している可能性があります。この設計パターンは、慎重に考慮されるべき新しいリスクのクラスを導入します。」

推奨される緩和策

Cato Networksは、この種の攻撃を防止または緩和しようとするユーザーに対して、作成、追加、編集などのリモートMCPツール呼び出しをブロックまたは警告するルールを作成することを推奨しました。このような対策により、ユーザーは以下を行うことができます:

  • AI駆動のアクションに最小特権を適用する
  • リアルタイムでの疑わしいプロンプト使用を検出する
  • ネットワーク全体でのMCP活動の監査ログを保持する

このレポートは、AsanaがMCPサーバーのバグを発表した2日後に発表されました。このバグは顧客データを他の組織に露出させました。

写真クレジット: Konstantin Savusia/Michael Vi/Shutterstock

翻訳元: https://www.infosecurity-magazine.com/news/atlassian-ai-agent-mcp-attack/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です