AIコーディングエージェントの利用が急速に広がる中、SentryのMCPサーバーを悪用した「Agentjacking」攻撃が新たに確認されました。公開されたDSNだけで攻撃者が偽のエラーイベントを注入し、エージェントがそれを信頼して悪意あるコードを実行してしまうというものです。CSA Labsの調査では85%の成功率で、2,388以上の組織に影響が及ぶ可能性が指摘されています。
📑目次
Agentjacking攻撃の概要と背景
AIコーディングエージェントが外部サービスと連携するMCP(Model Context Protocol)を利用するようになったことで、新たな攻撃面が露呈しました。Tenet Securityの調査で、SentryのMCPサーバーが公開DSN経由の偽エラー注入を許す脆弱性が明らかになりました。攻撃者は特別な権限なしにHTTP POSTだけで偽のエラーをSentryに送り込み、エージェントがそれを信頼して悪意あるコマンドを実行してしまいます。
攻撃の成功率と影響範囲
CSA Labsの公式レポートによると、テストした全エージェントで85%の成功率を記録しました。Tranco上位100万サイトのうち71件でinjectableなDSNが確認され、少なくとも2,388組織が潜在的な被害対象となりました。攻撃はEDRやWAF、IAMを完全に回避し、開発者自身の権限で実行されるため検知が極めて困難です。
攻撃チェーンの6段階詳細
攻撃は以下の6段階で進行します。
- 1. 公開Sentry DSNの発見(JSバンドル、GitHubリポジトリ、Censysスキャン)
- 2. HTTP POSTによる偽エラーイベントの注入(write-only DSNで十分)
- 3. Sentryの診断テンプレートを模したMarkdownペイロードの埋め込み
- 4. AIエージェントによるMCP経由のエラー取得(出所検証なし)
- 5. 攻撃者指定の悪意コマンド実行(npx @attacker/package など)
- 6. AWS/GCP/GitHubトークンなどのシークレット窃取
既存セキュリティ制御が機能しない理由
| 制御 | 通常のマルウェア | Agentjacking攻撃 | 回避理由 |
|---|---|---|---|
| EDR | プロセス監視・異常検知 | 開発者権限で正規コマンド実行 | 信頼されたプロセスとして認識 |
| WAF/IAM | 不正アクセスブロック | 開発者IDで正規操作 | 認証済みセッション内 |
| VPN/ネットワーク | 外部通信制限 | エージェントがローカル実行 | クラウドメタデータ非依存 |
| コードレビュー | 手動チェック | 自動実行で即時反映 | 人間の介在なし |
出典:CSA Labs Tenet Security研究(2026年6月)
即実践可能な対策
- Sentry MCP統合を無効化、またはMCP由来コマンドに人間承認を必須化
- エージェントをコンテナサンドボックスで実行(クラウドメタデータエンドポイント遮断)
- 公開DSNのローテーションとサーバーサイド中継の導入
- MCP接続先のインベントリ作成とバージョン固定
- インストール系コマンドは常時確認プロンプトを強制
Agentjacking攻撃に関するFAQ
まとめと次のアクション
AgentjackingはMCPという新しい連携方式がもたらしたデータソース注入攻撃の典型例です。AIエージェントを日常的に利用する開発者は、Sentry DSNの公開範囲見直しとMCPコマンドへの承認フローを早急に導入してください。詳細はCSA Labs公式レポートを参照してください。
関連記事: NVIDIA、AgentPerfベンチマーク発表 — Blackwellがagentic workloadで20倍性能、Databricks、AI Agent向けメタハーネス「Omnigent」をオープンソース公開 — Claude Code / Codex横断でmulti-agent制御、DynatraceがAI Coding Agent監視を拡張:Claude Code・Gemini CLI・Codex CLIをOpenTelemetryで可視化。
著者
krona23
IT業界20年以上の実務経験を持ち、日本国内有数のPVを誇る大規模Webサービスで事業部長・CTOを複数社で歴任。Windows/iOS/Android/Webと技術の変遷を経験し、現在はAIネイティブへの変革に注力。DevGENTでは、AIコードエディタ・自動化ツール・LLMの実践的な使い方を日英西3言語で発信中。
コメントを残す