AIに依存して攻撃する：攻撃者のトレードクラフトの次なる進化

長年にわたり、防御側は「Living off the land（環境寄生）」攻撃と戦ってきました。これは、攻撃者が侵害したシステムに既に存在するツール（PowerShell、WMIなど）を使って侵入を進める手口です。次に登場したのが「living off the cloud」で、脅威アクターは普及したクラウドサービスの陰に紛れ、マルウェア配布やデータ持ち出しを行いました。そして今、次の段階に入っています。AIに依存して攻撃する（living off the AI）時代です。

組織は競争力を維持するため、AIアシスタント、エージェント、そして新興のModel Context Protocol（MCP）エコシステムを急速に採用しています。攻撃者もそれに気づきました。さまざまなMCPやAIエージェントがどのように狙われ得るのか、そして実際にエンタープライズAIがどのように攻撃者の手口（プレイブック）の一部になるのかを見ていきましょう。（MCPは、LLMとAIエージェントが外部システムに安全に接続するためのオープンソースフレームワークです。）

「脱獄」からゼロ知識の脅威アクターへ

モデルの振る舞いは、コードだけでなくコンテキストによっても変化します。以前の記事では、「没入型ワールド」手法を使って、マルウェア生成が有益だとモデルに納得させる方法について書きました。その結果、Chromeを標的にしたパスワード窃取マルウェアが実際に動作する形で生成されました。これは参入障壁が崩壊したことの証左です。私たちはこれをゼロ知識の脅威アクターの時代と呼びました。AIツールにアクセスできれば、最小限の専門知識しかない人物でも、信頼に足る攻撃能力を組み立てられてしまいます。

この民主化は、リスク計算を変えます。あなたの従業員の生産性を加速させるのと同じAIスタックが、コード実行、ファイルシステムアクセス、社内ナレッジベース横断検索、チケッティング、決済といった機能をも扱えるなら、制御のわずかな綻びが現実のビジネス影響へと直結します。

「AIに依存して攻撃する」とはどのようなものか

一撃離脱型のマルウェアとは異なり、これらのキャンペーンは、承認済みのAIワークフロー、ID、コネクタに便乗します。

プロンプト起因のツール悪用：隠し指示を含む文書やウェブページにより、エージェントが接続されたツールを呼び出し、社内RAGインデックスから秘密情報を照会したり、タスクをスケジュールしたり、断片を外部URLへ持ち出したりします。しかも従来のEDRを作動させずに行われ得ます。

MCPとエージェントの「ツールジャック」：権限設定が甘いツールは、エージェントに必要以上のデータを読ませてしまいます（広範なファイルシステムマウント、テナント全体検索、無制限のWebフェッチなど）。攻撃者は、設計者が想定しなかった形でツールを連鎖させるよう、エージェントを誘導します。

メモリと検索（リトリーバル）の汚染：エージェントが過去のチャットや共有ベクターストアから学習する場合、攻撃者は悪意ある「事実」を植え付けて将来の行動を作り替えられます。意思決定を歪めたり、警告を抑制したり、日常的に見えるデータ持ち出し用エンドポイントを挿入したりできます。

クラウド偽装（AI版）：クラウドに依存する攻撃と同様に、攻撃者は人気のSaaSプラットフォーム経由で通信を中継します。今度はAI自体がディスパッチャーとなり、コラボレーションチャネルへの投稿、チケット更新、機密データをひそかに含む「要約」の同期などを行います。

vibe codingの悪用：LovableのようなAI駆動のWeb開発プラットフォーム、またBase44、Netlify、Vercelの脆弱性を（程度の差はあれ）介して、サイバー犯罪者が説得力のあるフィッシングサイトを設計・ホスト・立ち上げるために悪用する事例が増えています。

なぜ今、これが加速しているのか

• 導入が堅牢化を上回る：ビジネス上の圧力により、権限、ガードレール、可観測性が成熟する前にエージェントが展開される。
• ツール面が増殖する：MCPやエージェントフレームワークによりコネクタ追加が容易になり、新しいツールはすべて新しい信頼境界になる。
• ソーシャルエンジニアリングがスケールする：自然言語インターフェースにより、ユーザーやエージェントが読む場所へ指示を仕込むことが容易になる。

どう対処すべきか（実践的なベースライン）

エージェントを、自動化という超能力を持つ特権ユーザーとして扱ってください。そして、高リスクのサービスアカウントに適用するのと同じゼロトラストの厳格さを適用します。

1. ツールのスコープを最小化し、分離する

• 各ツールの権限を必要最小限に絞る。デフォルトは読み取り専用を優先する。
• ツールレベルでネットワーク送信（ドメイン、プロトコル）の明示的な許可リストを強制する。
• 高リスクツール（ファイル書き込み、外部HTTP、コード実行）は、追加のポリシープロンプトと人間の承認の背後に分離する。

2. プロンプト、コンテキスト、検索（リトリーバル）を強化する

• システムプロンプトをバージョン管理して保護し、変更管理を経ない実行時の改変をブロックする。
• 取得コンテンツをサニタイズ（システムレベルの指示を除去または隔離）し、出所（プロベナンス）をラベル付けする。
• ベクターストアをチーム別・機密度別に分割し、「すべてを検索」するグローバル既定値を避ける。

3. ツールの入出力を検証し、制約する

• 厳格なスキーマとサーバー側検証を用い、境界（パス、サイズ、宛先）を超えるリクエストを拒否する。
• モデルに露出する前に秘密情報をマスキングする。生の認証情報をLLMコンテキストに渡さない。

4. モデルポリシーを超えた実効性のあるガードレールを追加する

• モデル外でのポリシー強制：レート制限、DLP、送信制御、ダウンロード物／実行ファイルのシグネチャチェック。
• 取り消し不能な操作（決済、大量データエクスポート、権限変更）には、追加承認（ステップアップ）を要求する。

5. 攻撃者の視点で観測し、検知する

• エージェントログを集約する：プロンプト、ツール呼び出し、パラメータ、宛先、データ量。
• 異常なツール連鎖、営業時間外の大量取得、機密ストアへの初回アクセス、未承認ドメインへの外向き通信を検知するルールを作る。
• 「レッドチーム」プロンプト（没入型ワールドのシナリオを含む）をリプレイし、エージェント更新のたびに回帰テストとして実施する。

6. ループ内の人間を教育する

• 文書、チケット、Web結果に含まれるプロンプトインジェクションや疑わしいデータソースを見抜くようユーザーを訓練する。
• 疑わしいエージェント挙動を報告し、隔離できるようにする。

「良い状態」とはどのようなものか

成功しているチームは、AIセキュリティを退屈なものにします。エージェントのスコープは明確で、高リスク操作には明示的な同意が必要で、すべてのツール呼び出しは観測可能で、検知は奇妙な挙動を素早く捉えます。その世界では、攻撃者があなたのAIに依存して攻撃しようとすることはできても、囲い込まれ、ログに残され、レート制限され、最終的にはブロックされるでしょう。

要点

AIに依存して攻撃することは仮説ではなく、私たちが防いできたトレードクラフトの自然な延長であり、いまやアシスタント、エージェント、MCPへと写像されています。モデルの振る舞いは（実際のChrome認証情報窃取まで生成できるほど）容易に誘導され得ますし、今日のエージェントエコシステムは標的になり得ます。答えはAIの導入や進歩を遅らせることではなく、それをプロフェッショナルなものにすることです。要するに、AIを機密性の高い権限を持つ本番ソフトウェアとして扱うこと。最小権限で設計し、インフラで強制し、敵対的テストで継続的に検証する。そうすれば、AIは負債ではなく、持続的な優位性になります。