企業がAI技術とサービスへの依存を深める中、攻撃者の「ランドオフ」技術はそれらを悪用するように進化しています。
攻撃者は、かつてPowerShellなどの組み込み企業ツールに依存していたのと同じように、攻撃を実行するためにAIシステムを悪用し始めています。
マルウェアに依存する代わりに、サイバー犯罪者は企業が依存するAIツールを悪用することがますます増えています。専門家の中には、これを「AI ランドオフ」と呼ぶ者もいます。
「AI通信保護を専門とするスタートアップ Helmet Security の CTO である Kaushik Shanadi 氏は、「供給チェーン内の中毒された MCP サーバー、Claude などの正規モデルを使用した機密データ抽出、さらには OpenClaw などのウイルス性エージェントが誤って破壊的な行動を引き起こすなどの事例が見られています。問題は、これらのシステムのほとんどが、ガバナンスやセキュリティについて誰も考える前にデプロイされたことです」と述べています。
単純なプロンプトインジェクションから「エージェントハイジャック」への転換は、AI脅威環境における根本的な変化を表しており、他のセキュリティ専門家も CSO に同様の見解を述べています。
サイバーセキュリティベンダー Radware のサイバー脅威インテリジェンス VP である Pascal Geenens 氏は、「攻撃者はもはやチャットボットをだますことだけを目指しているわけではなく、AI ランドオフを行い、AI アシスタントを有用にする正規の自動化とメモリ機能を悪用しています」と述べています。
以下は、攻撃者がAIベースのサービスを悪用して攻撃を実行する方法のいくつかの例です。
MCPサーバーの偽装
偽造の MCP サーバーパッケージは正規に見え、単一行のコード変更が導入されるまで15バージョン全体で正規のツールとして機能しました。その変更により、パスワードリセット、請求書、内部メモなどの機密通信が何日もの間こっそり流出していました。
人気のある node.js パッケージレジストリで週に1,500ダウンロードを獲得した悪意あるパッケージは、このツールに依存する企業をサプライチェーン攻撃のリスクに晒していました。
「これは MCP パッケージレジストリの名前スクワッティングと同等ですが、MCP サーバーのアイデンティティを検証する中央 MCP 権限がなく、MCP サーバーと当該組織との間に暗号化されたリンクがありません。これは MCP がデプロイされる前に信頼モデルを破壊します」と、AI セキュリティおよび MLOps プラットフォーム Jozu の CEO である Brad Micklea 氏は述べています。
AI エージェントとチャットボットがデータソース、ツール、その他のサービスに接続できるようにする MCP サーバーは、最近では多くの(例えばCursor の組み込みブラウザに対して)悪意のある攻撃の対象となっており、継続的な悪意のある攻撃も受けています。これらのシステムをロックダウンしてリスクを最小化することは、企業の CISO にとって優先事項となっています。
「これらのサーバーは、AI エージェントがタスクを実行できるようにするため、ツール、メモリ、API をエージェントに公開しています」と、アジェンティック AI ガバナンスプラットフォーム i-GENTIC AI の CEO である Zahra Timsah 博士は述べています。「攻撃者が中毒されたツール、改ざんされたコネクタ、または悪意のある取得ソースをそのチェーンに挿入すると、AI エージェントが知らないうちにそれを実行する可能性があります。」
秘密の C2 チャネルとして AI プラットフォームを悪用する
サイバー犯罪者は、AI プラットフォームを秘密のコマンド・アンド・コントロール(C2)チャネルとして悪用し、AI サービスを、悪意のあるトラフィックを正規コンテンツのフローに隠すプロキシに変えています。
専用の C2 サーバーを実行する代わりに、マルウェアはコマンドをフェッチし、AI サービス経由でデータを流出させるようにプログラムされており、その過程で従来のセキュリティ制御を回避しています。
例えば、SesameOp バックドアは、OpenAI Assistants API 内にコマンドトラフィックを隠し、マルウェアへの指示を通常の AI 開発活動として偽装しました。
これは孤立した例からは程遠く、悪用の可能性は豊富にあります。
例えば、Check Point Research は、Microsoft Copilot と Grok がパブリックウェブインターフェースを通じて攻撃者が制御する URL をフェッチして応答を返すように操作される可能性があることを実証しました。この動作は、API キーや認証されたアカウントを必要とせずに AI システムの悪用への道を開きます。
AI ワークフローにおける依存関係の中毒
AI システムを直接攻撃するのではなく、エージェントがデータ処理のために依存している下流の依存関係に中毒を注入することに依存する攻撃もあります。
1 つのケースでは、中毒された NPM パッケージがアジェンティック ワークフローの依存チェーンに注入されました。
「これは古典的なサプライチェーン攻撃(例えば SolarWinds)を反映していますが、アジェンティック パイプライン内の中毒された依存関係はデータを漏らすだけでなく、エージェントの意思決定、ツール選択、または出力を、目に見える異常なく変更する可能性があります」と、Jozu の Micklea 氏は述べています。
二重スパイ
一部の攻撃者は、企業のレガシー IT インフラストラクチャのコンポーネントを悪用するのではなく、エージェントの脆弱性を武器化しています。
例えば、Microsoft 365 Copilot の「EchoLeak」コマンドインジェクション脆弱性(CVE-2025-32711)は、隠されたプロンプトインジェクション指示を含む単一のメールで、ユーザーとの相互作用なしに AI アシスタントに内部ファイルとメールを外部サーバーに流出させることを強制するのに十分であることを示しています。
OpenClaw(人気のあるオープンソースの個人用 AI アシスタント)の一連の脆弱性(CVE-2026-25253など)は、悪意のあるウェブサイトが開発者の AI エージェントを完全に制御する経路を作成しました。
「21,000 を超えるそのようなインスタンスが検出され、研究者はさらに OpenClaw プラットフォーム用のスキルマーケットプレイスの 12% がマルウェアを配布していることを観察しました」と、Picus Security の Picus Labs VP である Dr. Suleyman Ozarslan 氏は述べています。
GTG-1002 と指定された中国政府系と疑われるグループは、Claude Code を使用して戦術的操作の 80~90% を独立して実行しました。これは人間のオペレータにとって物理的に不可能なリクエストレートで行われました。
攻撃者は Claude Code の AI アジェンティック機能を悪用して、スクリプティング、ターゲット研究、攻撃ツール構築、その他の機能のプロセスを自動化しました。
「攻撃者は彼らの操作を数千の小さな、個別には無害なタスクに分解し、モデルが正規のセキュリティ評価の一部として動作していると信じさせるロールプレイ フレーミングと組み合わせました」と、サイバーセキュリティスタートアップ Polygraf AI の CEO である Yagub Rahimov 氏は説明しています。
モジュラー ブラックハット AI プラットフォームの作成
脅威環境はチャットボットの悪用から Xanthorox AI のような専用の武器化 AI スタックの構築へと変わりました。
汎用 LLM とは異なり、Xanthorox はサイバー犯罪専用に設計された目的別の攻撃プラットフォームです。このプラットフォームは、マルウェア生成と脆弱性エクスプロイトなどの機能用のモジュールを備えています。
「Hexstrike AI Model Context Protocol(MCP)統合により、Xanthorox は単なる『支援された』ハッキングから完全に自律的なエージェント システムの領域へ移動し、『バイブ ハッキング』の領域へと移動しています」と、Radware の Geenens 氏は述べています。Hexstrike は、倫理的ペネトレーションテスト用に元々設計されたオープンソースの AI 駆動型の攻撃セキュリティ フレームワークです。
配信に対するチェック
サイバーセキュリティベンダー Safetica の CTO である Zbyněk Sopuch 氏は、多くの攻撃者がソフトウェアの脆弱性を単に悪用するのではなく、組織が AI に置く信頼を悪用することを好むと述べています。
「これは、セキュリティ チームが人間の特権ユーザーと同じ方法で AI アシスタントを扱う必要があることを意味します。厳格な制御、特定の監視、そして最も重要なことに、誰かまたは何かが安全であると仮定しないことです」と、Sopuch 氏は結論づけています。
