title: "Agentjacking|社内MCP接続したAIエージェントがSentryのエラー報告経由で乗っ取られる新攻撃と対策" description: "MCPを社内に接続したAIエージェントが、Sentry等のエラー報告に仕込まれた指示を「信頼された指示」として実行し、開発者権限で任意コマンドを走らせるAgentjacking攻撃。攻撃経路、MCP導入時チェックリスト、情シス・セキュリティ・開発リーダーが今すぐ確認すべき統制を整理する。" keyword: "Agentjacking MCP AIエージェント セキュリティ 乗っ取り Sentry 社内接続" slug: "agentjacking-mcp-internal-connection-attack-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["Agentjacking","MCP","AIエージェント","生成AIセキュリティ","インジェクション"] author: "GXO株式会社" lead_summary: "MCP接続したAIエージェントが、エラー報告に仕込まれた指示を信頼して実行し、開発者権限で乗っ取られる新攻撃Agentjackingの対策を整理する。"
Agentjacking|社内MCP接続したAIエージェントがSentryのエラー報告経由で乗っ取られる新攻撃と対策
結論:MCPを社内につないだAIエージェントは「外部から届くデータ」を信頼してはいけない
2026年6月、Tenet Securityが「Agentjacking(エージェントジャッキング)」と名付けた新しい攻撃クラスを公開した。要点はこうだ。AIコーディングエージェント(Claude Code、Cursor、Codexなど)がMCP(Model Context Protocol)経由でSentryのエラー情報を読み込むとき、攻撃者がそのエラー報告に仕込んだ指示を、エージェントが「信頼された手順」として実行してしまう。実行されるのは、開発者本人の権限で動く任意コマンドである。
注意すべきは、この攻撃の各ステップが「すべて正規の操作」だという点だ。開発者がエージェントにエラー修正を頼む、エージェントがMCPでSentryを照会する、Sentryがデータを返す、エージェントが提案された修正を実行する——どの一手も権限違反ではない。だからEDRやWAFといった既存の防御は「不正な振る舞い」を探すように作られているため、検知が難しい。
押さえるべき1点:MCPで社内にAIエージェントをつなぎ始めた企業は、「ツールが返すデータ=信頼できる指示」という暗黙の前提を今すぐ見直す必要がある。
この記事は、MCPを社内システムに接続し始めた情シス・セキュリティ・開発リーダー向けに、攻撃経路と導入時チェックリストを実務目線で整理する。生成AIを業務に組み込む前提のセキュリティ設計は、生成AIセキュリティの論点として体系的に押さえておきたい。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
Agentjackingとは何か:3つの「正しい設計」が重なって生まれる穴
Cloud Security Alliance(CSA)の研究ノート(2026年6月12日公開)は、Agentjackingを「外部から制御可能なデータソースへの悪意ある指示注入を通じて、MCP接続されたAIコーディングエージェントを悪用する新しい攻撃クラス」と定義している。
この攻撃は、それ自体は妥当な3つの設計判断が交わる地点で成立する。
| 重なる設計 | 内容 | 単体では問題ない理由 |
|---|---|---|
| Sentryのイベント取り込み | DSN(書き込み専用の公開鍵)を持つ者は誰でも任意のイベントを投稿できる | エラー収集ツールとして自然な仕様 |
| Sentry MCPサーバー | 受け取ったイベントを、内容の真正性チェックなしにエージェントへ渡す | MCPはツール出力を中継するのが役割 |
| AIエージェント | 接続済みMCPサーバーからのツール出力を「信頼された文脈」として扱う | 連携ツールを疑い始めると自動化が成立しない |
つまり問題は特定の製品のバグではなく、「ツールが返したデータを、エージェントが指示として信頼する」というMCP連携の構造そのものにある。Sentryは一例にすぎず、外部から書き込める他のデータソース(チケット、ログ、通知など)をMCPでつなげば同型のリスクが生じうる。
攻撃経路:偽のエラー報告が「正規の修正手順」に化ける
Tenet Securityの報告(2026年6月3日に開示)にもとづく攻撃の流れは、おおむね次の6段階である。
- DSNの発見:攻撃者は標的のSentry DSNを入手する。DSNはブラウザのJavaScriptやGitHub検索から見つかる、公開された書き込み専用の認証情報である。
- イベント注入:DSNとHTTP POSTができるツールさえあれば、Sentryの取り込みエンドポイントに任意のエラーイベントを投稿できる。
- 指示の偽装:イベントのメッセージやコンテキスト欄にmarkdownを仕込む。これが見出し・コードブロック・「Resolution(解決手順)」セクションとして描画され、Sentry自身の修正ガイダンスと見分けがつかなくなる。
- エージェントの誘導:開発者が「Sentryのエラーを直して」とエージェントに依頼すると、エージェントはMCP経由で注入済みイベントを取得する。
- コマンド実行:エージェントは偽の「解決手順」に従い、攻撃者が指定したコマンド(例:悪意あるnpmパッケージの実行)を、開発者本人の権限で走らせる。
- 情報窃取:実行されたパッケージが、開発者マシン上のAWSシークレットキー、GitHub/GitLabのOAuthトークン、npm認証情報、Docker設定、Kubernetesトークン、CI/CDパイプラインのシークレットなどにアクセスする。
なぜ既存のセキュリティ製品で止まらないのか
| 防御層 | 何が見えているか | なぜ検知できないか |
|---|---|---|
| EDR | 信頼されたプロセス(AIエージェント)が正規のパッケージ管理コマンドを実行 | 不正なバイナリ投下もプロセスインジェクションも起きない |
| WAF | 開発者端末からの外向き通信 | 通常のパッケージ取得と区別がつかない |
| IAM | すべて開発者の正規の認証情報で実行 | 権限違反が記録されない |
この「全工程が技術的に認可済み」という性質が、Agentjackingを従来型の検知から逃れさせている。守るべきは「不正アクセス」ではなく「正規の権限で実行される、偽装された指示」だという発想の転換が必要になる。
確認できている数値(出典を明示)
誇張を避けるため、報告されている数値と出典を整理する。
| 数値 | 内容 | 出典 |
|---|---|---|
| 2,388組織 | 注入可能な公開DSNを持つと確認された組織数 | ※Tenet Security調査(2026年6月) |
| 85% | テストしたエージェント(Claude Code、Cursor、Codex)に対する攻撃成功率(管理された検証環境) | ※Tenet Security調査 |
| 100組織超 | 管理下で実際に注入イベントを試験した規模 | ※Tenet Security調査 |
| 43% | テストされた公開MCPサーバー実装のうちコマンドインジェクションの欠陥を持っていた割合 | ※Elastic Security Labs調査(CSA研究ノートが引用) |
補足:43%という数値はAgentjacking単体の統計ではなく、MCPサーバー実装全般のセキュリティ品質を示すElastic Security Labsの調査結果で、CSAの研究ノートが関連文脈として引用しているものである。混同しないよう注意したい。
なお、Sentryはこの問題を認識したうえで、根本修正は「技術的に防御不可能(technically not defensible)」として見送り、特定のペイロード文字列を遮断するコンテンツフィルターを導入したと報じられている。これはベンダー側だけでは塞ぎきれない構造的リスクであり、利用企業側の統制が前提になることを意味する。
MCP導入時チェックリスト:「つなぐ前」に決める統制
社内システムにMCPでAIエージェントをつなぎ始めた企業が、最低限決めておくべき項目を整理する。CSA研究ノートが挙げる緩和策を実務に落とし込んだものだ。MCP・AIエージェントを本番投入する前の確認観点はAIエージェント導入前チェックリストで体系的にまとめている。
1. ツールスコープ(権限の最小化)
| 確認項目 | 決めること |
|---|---|
| 自律実行の可否 | コマンド実行前に明示的な人間承認を必須にする(自律実行モードを既定で無効化) |
| 実行環境の隔離 | エージェントの実行を隔離コンテナ/サンドボックス内に限定する |
| ツール単位の許可 | どのMCPツール・どのコマンドを呼べるかを列挙し、それ以外は禁止する |
| 認証情報の分離 | 開発者の個人鍵・本番クレデンシャルをエージェント実行環境から切り離す |
2. 事前・事後インターセプタ(実行の前後で止める)
| 確認項目 | 決めること |
|---|---|
| 事前インターセプタ | MCPが返したデータを、エージェントが指示として解釈する前に検査・無害化する層を挟む |
| 事後インターセプタ | エージェントが実行しようとするコマンドを、実行直前にレビュー・承認・記録する |
| 高リスク操作の遮断 | パッケージ取得・外部送信・認証情報アクセス等は原則ブロックまたは二重承認 |
3. 出所検証(データの素性を疑う)
| 確認項目 | 決めること |
|---|---|
| データの信頼境界 | 「外部から書き込めるデータソース」を洗い出し、それを指示として扱わない |
| MCPサーバー台帳 | 接続するMCPサーバーの一覧・提供元・バージョンを管理し、検証済み提供者に限定する |
| バージョン固定 | サイレントに挙動が変わる「rug-pull(後出し再定義)」を防ぐため、ツールのバージョンを固定する |
| 露出鍵の棚卸し | 公開済みDSN等を洗い出してローテーションし、各MCP連携の必要性を再評価する |
これらは「AIエージェントを止める」ための制約ではなく、本番で安全に使い続けるための前提条件である。導入前のセキュリティ評価としては、AIアセスメントで社内システム接続の前提リスクを洗い出すアプローチが有効だ。
FAQ
Q. うちはSentryを使っていないが、Agentjackingは関係あるか? A. Sentryは一例である。攻撃の本質は「外部から書き込めるデータソース」をMCPでつなぎ、エージェントがそのデータを指示として信頼することにある。チケット、ログ、通知、外部APIなど、第三者が内容を投稿できる連携があれば同型のリスクを検討すべきだ。
Q. 自律実行を無効にして、毎回人間が承認すれば安全か? A. 大きく安全側に倒れる。CSA研究ノートも、コマンド実行前の明示的な人間承認を緩和策の筆頭に挙げている。ただし承認者が偽装された「解決手順」を本物と誤認すれば実行されうるため、出所検証・隔離実行と組み合わせる必要がある。
Q. EDRやWAFを入れていれば検知できるか? A. 構造上、検知は困難とされる。全工程が開発者の正規権限・正規プロセスで進むため、不正バイナリ投下やプロセスインジェクションが起きず、外向き通信も通常のパッケージ取得と区別がつかない。MCP連携層での事前・事後インターセプタが本筋の対策になる。
Q. ベンダーが直してくれるのを待てばよいか? A. 待つだけでは不十分だ。報道によればSentryは根本修正を「技術的に防御不可能」として見送り、限定的なコンテンツフィルターのみを導入したとされる。MCPの信頼モデルに起因する構造的リスクであり、利用企業側の統制設計が前提になる。
この記事を読むべき人
- 社内システムにMCP経由でAIエージェント(Claude Code、Cursor、Codex等)を接続し始めた情シス・開発リーダー
- 生成AIの本番利用にあたり、セキュリティレビューで「乗っ取り」リスクの説明を求められている担当者
- 開発者端末にクラウド認証情報・本番シークレットが置かれており、漏えい時の影響が大きい組織
- MCPサーバーの導入を検討中で、「何を確認してから繋ぐべきか」を決めかねているチーム
GXOに相談すべきタイミング
- MCPでAIエージェントを社内に接続したいが、信頼境界・実行権限・承認フローの設計に自信がない
- 生成AI導入のセキュリティ評価を、攻撃経路まで踏み込んで実施したい
- 既存システムやMCPサーバー実装に、コマンドインジェクション等の脆弱性が残っていないか確認したい
- AIエージェントを安全に本番運用するための統制を、開発・運用の伴走込みで整えたい
GXOでは、生成AIセキュリティの設計、AIアセスメントによる導入前リスク評価、脆弱性診断、そしてFDE Plusによる開発・運用の伴走を組み合わせ、MCP・AIエージェントを「便利だが危ない」状態のまま本番に出さない支援を行う。
MCP導入時の統制項目は、MCP導入前セキュリティチェックリストとして無料ダウンロードできる。社内システム接続の可否判断や稟議資料に活用してほしい。
関連記事
- AIエージェントに社内システムを触らせる前に必要な認可・監査ログ・実行権限設計
- MCPサーバー約12,000台が露出|NSAガイダンスと社内接続の前提リスク
- Mastra npmパッケージのバックドア化(Sapphire Sleet)|AI開発の依存が狙われた攻撃
参考資料
- Tenet Security "One Fake Bug Report Hijacked a $250B Company's AI Agent / Agentjacking" https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/
- Cloud Security Alliance "Agentjacking: MCP Injection Hijacks AI Coding Agents"(研究ノート、2026-06-12) https://labs.cloudsecurityalliance.org/research/csa-research-note-agentjacking-mcp-sentry-injection-20260612/
- Elastic Security Labs "MCP Tools: Attack Vectors and Defense Recommendations for Autonomous Agents" https://www.elastic.co/security-labs/mcp-tools-attack-defense-recommendations
- Model Context Protocol https://modelcontextprotocol.io/
本記事は2026年6月25日時点の公開情報をもとに作成。攻撃手法・統計・各製品の挙動は変化しうるため、対策の適用前に各社公式情報と自社の監査要件を確認すること。数値は出典元の調査結果であり、自社環境での再現性を保証するものではない。
MCP・AIエージェントを社内につなぐ前に、信頼境界と実行権限を点検しませんか
GXOでは、生成AIセキュリティ設計、AIアセスメント、脆弱性診断、開発・運用の伴走を組み合わせ、Agentjackingのような「正規の権限で実行される乗っ取り」を防ぐ統制づくりを支援します。
※ 情シス・セキュリティ・開発リーダーの同席歓迎 | MCP導入前の段階から相談可
