出典:Mopic(Alamyストックフォト経由)
Black Hat USA 2025のインタビューで、ZenityのCTOであるMichael Bargury氏が、Dark ReadingのシニアニュースディレクターRob Wright氏とともに、AIエンタープライズ侵害手法に関する衝撃的な「AgentFlayer」研究について語ります。Bargury氏は、現代のAIアシスタントが「手足を持つようになった」と説明し、Microsoft、Google Workspace、Salesforceなどのエンタープライズ環境との統合を通じて、ユーザーのメール、ドキュメント、カレンダーへのアクセスや、ユーザーに代わってアクションを実行する能力を獲得したと述べています。
Bargury氏が発見した重大なゼロクリック脆弱性は、外部攻撃者がユーザーのメールアドレスさえ知っていれば、エンタープライズAIエージェントを完全に乗っ取り、機密データへアクセスしたり、信頼されたAIアドバイザーと認識されているものを通じてユーザーを操作できることを意味します。
Bargury氏はまた、プロンプトインジェクションに焦点を当てた現在のセキュリティアプローチはほとんど効果がないと指摘しています。彼は現在のAIセキュリティの状況を「90年代に戻ったようだ」と例え、当時と同様に根拠なき熱狂による最新技術の導入がエンタープライズのセキュリティ成熟度を上回っていると述べています。特にAIシステムは、防御の層(ディフェンス・イン・デプス)戦略ではなく、内蔵ガードレールのようなソフトな境界に依存しています。結論として、エンタープライズ全体でAIエージェントを導入する組織は、特定の問題をベンダーに「修正」してもらうのではなく、継続的なリスクを管理する専用のセキュリティプログラムを構築する必要があります。
ZenityのMichael Bargury氏によるAI脆弱性と防御に関する全記録
この書き起こしは分かりやすさのため編集されています。
Rob Wright: こんにちは、Dark ReadingのRob Wrightです。私は今、ラスベガスのBlack Hat USA 2025、Dark Readingニュースデスクにいます。本日はZenityのCTO、Michael Bargury氏にお越しいただきました。Michaelさん、ご参加ありがとうございます。
Michael Bargury: お招きいただきありがとうございます。
Rob Wright: 新しい研究を発表されるそうですね。セッションのタイトルはAIエンタープライズ侵害:ゼロクリック脆弱性手法です。これは危険そうですね。少し不安になります。研究内容について少し教えてください。
Michael Bargury: タイトルは少し長いですが、実際には、これらのAIシステムやアシスタント、エージェントは、この1年で本当に「手足を持つようになった」と言えます。彼らは私たちの代わりに行動できます。あなたのメールにアクセスできます。あなたのドキュメントにアクセスできます。あなたのカレンダーにもアクセスできますし、あなたの代わりにアクションを実行できます。問題は、攻撃者がこれらのエージェントを乗っ取ると、その目的が変わり、攻撃者の目的のためのツールになってしまうことです。これを実際にお見せします。そして、これはMicrosoft、Google、OpenAI、Salesforce、Carousellなど、すべての主要なAIアシスタントやエージェントで機能することを示します。本当にどこにでも存在しています。
Rob Wright: なるほど、それは怖いですね。「手足を持つようになった」とおっしゃいましたが、それはどういうことですか?
Michael Bargury: これらのアシスタントやエージェントを有用にするために、今やエンタープライズ環境に統合されています。Microsoftスイート、Google Workspace、Salesforce環境など、これらすべてが数クリックでサードパーティのエージェントやMicrosoft CopilotやGoogle Geminiに直接接続できます。これができると、これらのエージェントはあなたと同じようにその環境とやり取りできます。たとえば、機密性の高いドキュメントファイルがあれば、それを読むことができます。あなたが何かを書いているときにも、それを読むことができます。カレンダーの招待を作成することもできますし、他にもいろいろなことができます。
場合によっては、人々がこれらのエージェントを開発環境や本番システムに接続していることもあります。開発者エージェントを使っている場合、どうなるでしょうか?開発はユーザーマシン上で、そのマシンにある秘密情報やソースコードとともに実行されます。これにより、大きな被害が発生する可能性があります。
Rob Wright: なるほど。Black Hatに来るにあたり、AIが支配するようなウォーゲーム的な雰囲気に流されないと心に決めていましたが、これは確かに少し心配になってきました。つまり、これらのエージェントは私たちをより安全でなくしているようですね。
Michael Bargury: これからお見せするのは、外部の攻撃者、つまりインターネット上の誰かが、認証情報も何も必要とせず、あなたのメールアドレスさえ知っていればよい、ということです。それは簡単ですよね?
Rob Wright: そうですね。
Michael Bargury: それだけで、あなたのエージェントやアシスタントを、あなたのプライベートセッションごと完全に乗っ取ることができるのです。
Rob Wright: なるほど。
Michael Bargury: そこにあるすべてのデータを悪用できます。コネクターを使っていれば、これらのコネクターからすべてのデータを取得されます。さらに悪いことに、これらのエージェントを使って人間であるあなたを操作することもできます。私たちはこれらのアシスタントを信頼していますよね?AIアシスタントと会話し、信頼できるアドバイザーとして新しい情報を得ています。しかし、信頼できるアドバイザーがあなたを崖から突き落とすこともできるのです。今や攻撃者もそれができるようになりました。
Rob Wright: なるほど、安心させてくれることを期待していましたが、そうはならなさそうですね。では、どうすればいいのでしょうか?手足を持ち、あなたの代わりに行動し、攻撃対象領域を広げているこれらのエージェントにどう対処すればいいのでしょうか?
Michael Bargury: まず言いたいのは、私自身も毎日AIを使っています。AIを使うなと言っているわけではありませんが、これは全く新しい攻撃対象領域であることを認識すべきです。そして、ここ1年ほどでセキュリティ業界が注目してきたのはプロンプトインジェクションです。
Rob Wright: そうですね。
Michael Bargury: プロンプトインジェクションへの対策として、SQLインジェクションと同じように考えています。技術的には解決方法を知っていますが、運用面ではそうではありません。どうするかというと、データをサニタイズし、データと命令を分離しようとします。しかし、はっきり言っておきたいのは、プロンプトインジェクションへの対策はほとんど進展していません。多くのベンダーは既知の悪意あるプロンプトを巨大なブラックリストに追加しているだけです。
良いニュースは、攻撃者が回避できるAIガードレールのようなソフトな境界に頼るのではなく、ハードな境界を作ることができるという点です。ディフェンス・イン・デプスのおかげで、より安全な設計により攻撃の影響を減らせます。つまり、進むべき道は新しいものではありません。侵害を前提とし、誰かが悪意あるプロンプトを見つけることを理解し、一歩引いて考える必要があります。ディフェンス・イン・デプスを適用し、これまで学んだ教訓を活かし、境界線の構築にこだわるのをやめるべきです。
Rob Wright: なるほど、でも多くの組織がそれを実践していないのではないかと推測します。
Michael Bargury: 今の段階は、まさに90年代に戻ったようなものだと思います。本当に何でも簡単にハッキングできてしまう時代です。しかし、世界最大級のエンタープライズでこれを試していて、リリース直後からこうした状況です。私たちは本当に急速に進化する必要があり、常に新たな対策を模索しています。
現在、多くの組織は、アシスタントやエージェントを提供したベンダーに「直してくれ」と言えば解決すると考えています。ベンダーは慌てて修正しようとしますが、これはベンダーが解決できる問題ではありません。これは修正すべき脆弱性ではなく、私たち自身が管理すべき問題なのです。
私が常に例に挙げるのはマルウェアです。新しいマルウェアが見つかるたびに、人々はMicrosoftに「Windowsの脆弱性を直してくれ」とは言いませんよね。私たちは全体的なプログラムを持ち、ディフェンス・イン・デプスを実践し、これは業界全体の責任だと理解しています。Microsoftも含めてです。AIベンダーも同じで、自分たちの役割を果たす必要があり、努力していますが、解決できる問題ではなく、管理すべき問題なのです。
Rob Wright: つまり、私たちは問題を悪化させているようですね。90年代の話は面白いですが、当時は楽しいことも多かったものの、AIをより安全にするために必要なことを私たちは集団として実践できていないようです。今後、状況が変わると期待していますか?
Michael Bargury: AIベンダーが努力しているのは見ていますし、コミュニティとも連携しています。最前線にいるベンダーは、協力して対策を見つけることに前向きです。しかし、ベンダーだけの問題ではありません。みんなが「これは誰か他の人の仕事だ」と感じている状況です。
もしあなたがFortune 500企業で、組織全体でエージェントを導入することを決め、多数のライセンスを購入し、カスタムエージェントをあちこちで使っているなら、そのためのセキュリティプログラムを作る必要があります。それをしていなければ、すでに遅れています。なぜなら、すでに悪用されているからです。悪用とは、ファイルを共有したり、メールを送ったり、カレンダー招待を送ったりするだけで済みます。とても簡単です。
Rob Wright: そうですね。怖い話です。ですが、あなたの研究を共有してくれて感謝しますし、セッションも楽しみにしています。ありがとう、Michael。
Michael Bargury: こちらこそ、ありがとうございました。本当に楽しかったです。
Rob Wright: そして、このDark Readingニュースデスクのセグメントをご覧いただきありがとうございました。Dark ReadingのRob Wrightでした。また次回お会いしましょう。
翻訳元: https://www.darkreading.com/application-security/ai-agents-access-everything-zero-click-exploit