- 「Agentjacking(エージェントジャッキング)」は、偽のエラー報告を使ってAIコーディングツールを乗っ取る新しい攻撃です
- Claude Code・Cursor・Codexの3つで、85%という高い確率で攻撃が成功しました
- たった1回のHTTPリクエストで、開発者のパソコン上で勝手にコードが動かされます
- AWSの鍵やGitHubのトークンなど、大切な認証情報が盗まれる危険があります
- セキュリティ会社Tenetが対策ツール「Agent-JackStop」を無料公開しました
あなたが使っているAIに、知らないうちに「悪意のある命令」を吹き込めるとしたら、怖いと思いませんか。2026年6月、まさにそんな攻撃が実演されました。名前は「Agentjacking(エージェントジャッキング)」。たった1通の偽エラー報告で、開発者のAIが乗っ取られてしまうのです。この記事を読むと、その仕組みと身を守る方法がわかります。
Agentjackingとは何か
Agentjackingは、2026年6月にセキュリティ会社Tenet Security(テネット・セキュリティ)の研究チームが公開した新しい攻撃手法です。
ひとことで言うと、「AIコーディングエージェントをだまして、攻撃者の命令を実行させる」攻撃です。
AIコーディングエージェントとは、Claude CodeやCursorのように、人間の代わりにコードを書いたりバグを直したりするAIのことです。いま世界中の開発者が使っています。
研究チームのRon Bobrov氏、Barak Sternberg氏、Nevo Poran氏は、この攻撃が現実に動くことを実演してみせました。発表されたのは2026年6月中旬です。
名前の由来は「ハイジャック」
「Agentjacking」は、AIエージェント(Agent)と乗っ取り(hijacking)を組み合わせた造語です。
飛行機のハイジャックと同じように、本来は持ち主のために働くAIが、いつのまにか攻撃者のために働かされてしまいます。
攻撃の仕組みをやさしく解説
この攻撃のカギは、Sentry(セントリー)というツールにあります。Sentryは、アプリで起きたエラーを記録してくれる人気の監視サービスです。
問題は2つの仕組みが重なったときに起きます。
1つめは、Sentryのエラー受付の入り口です。ここは「DSN」という公開キーさえ知っていれば、誰でもエラー情報を書き込めます。DSNはWebサイトのソースコードに書かれていることが多く、簡単に手に入ります。
2つめは、Sentry MCP(エムシーピー)サーバーです。MCPは、AIが外部のツールと安全につながるための共通ルールです。AIはここから受け取った情報を「信頼できるシステムからの返事」として扱ってしまいます。
つまり、誰でも書き込める入り口から入った偽情報を、AIが「正しい情報」と信じてしまうのです。ここに大きな落とし穴がありました。
6つのステップで乗っ取る
実際の攻撃は、次のような流れで進みます。
- ① 標的さがし:WebサイトのソースコードからSentryのDSN(公開キー)を見つける
- ② 偽エラー投稿:公開APIを使って、Sentryに偽のエラー報告を送り込む
- ③ 命令の埋め込み:エラーの「解決方法」に見せかけて、こっそり命令文を仕込む
- ④ AIをだます:開発者が「このエラーを直して」とAIに頼むと、AIが仕込まれた命令を読む
- ⑤ コード実行:AIが攻撃者の用意したプログラムを勝手に動かす
- ⑥ 情報を盗む:AWSの鍵やGitHubトークンなどを、攻撃者のサーバーに送信する
こわいのは、開発者が何も悪いことをしていない点です。ただ「バグを直して」とAIに頼んだだけで、被害にあってしまいます。
なぜAIはだまされるのか
AIエージェントには、ある弱点があります。それは「データ」と「命令」を区別できないことです。
人間なら「これはエラーの説明文だな」「これは指示だな」と見分けられます。でもAIは、エラー報告の中に命令が混ざっていても、それを素直に実行してしまうのです。
この弱点をついた攻撃を「プロンプトインジェクション」と呼びます。Agentjackingは、その新しいかたちと言えます。
85%成功・2,388組織が危険にさらされた
研究チームが示した数字は、とても深刻でした。
まず成功率は85%。Claude Code・Cursor・Codexという人気の3ツールに対して、高い確率で攻撃が通りました。
次に、公開されているSentryの情報を調べただけで、2,388の組織が危険にさらされていることがわかりました。何かに侵入したわけではなく、公開APIを見ただけです。
さらに、検証テストでは100以上のエージェントが実際に偽エラーに反応して動いてしまいました。
被害が確認された組織には、フォーチュン100に入る時価総額2,500億ドル級の大企業から、個人開発者まで含まれていました。規模を問わず危ないということです。
盗まれる情報の中身
一度この攻撃が成功すると、攻撃者の手は広い範囲に届きます。盗まれる可能性があるのは、次のような情報です。
- AWSのアクセスキー(クラウドを操作する鍵)
- GitHubのトークン(ソースコードへの入り口)
- 環境変数に入ったパスワードや秘密の値
- SSH認証情報やKubernetesのトークン
- 非公開リポジトリ(社外秘のプログラム置き場)のURL
ここからCI/CD(自動で開発・公開する仕組み)やクラウド基盤にまで被害が広がる恐れがあります。
既存の防御をすり抜ける
もっとも厄介なのは、この攻撃が普通のセキュリティ対策をすり抜けることです。
EDR(端末を監視する仕組み)、ファイアウォール、IAM(権限管理)、VPN。これらをすべて通り抜けてしまいます。
理由はシンプルです。攻撃の流れの中に、不正アクセスが1つもないからです。すべて「正規の手続き」で進むため、見張りの目に引っかかりません。
従来のサイバー攻撃との違い
「これまでのハッキングと何が違うの?」と思った方もいるでしょう。比較してみます。
従来の攻撃は、システムの「穴(脆弱性)」を探して侵入するのが基本でした。だから、その穴をふさげば防げました。
一方Agentjackingは、穴をつくわけではありません。「AIが情報を信じてしまう」という設計そのものを悪用します。バグではなく、仕組みの前提を逆手に取るのです。
また、SQLインジェクションのような古典的な攻撃は、データベースをだます手口でした。Agentjackingは、その対象が「人間のように考えるAI」に変わった点が新しいと言えます。
似た研究はほかにもあります。2026年初めには、悪意あるメール1通を読ませた環境で、AIが80%の確率でSSHキーを外部に送るコードを実行した、という報告もありました。AIエージェントへの攻撃は、いま世界的な関心事になっています。
日本市場への影響
「海外の話でしょ?」と感じるかもしれませんが、日本も無関係ではありません。
Claude Code・Cursor・Codexは、日本の開発現場でも広く使われています。SentryやMCPを組み合わせている企業も少なくありません。つまり、同じ条件なら日本企業も標的になり得ます。
日本では、AIのセキュリティへの注目が急速に高まっています。IPA(情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」では、「AIの利用をめぐるサイバーリスク」が初めて第3位にランクインしました。
さらに2026年3月27日には、総務省が「AIのセキュリティ確保のための技術的対策に係るガイドライン」を公表しています。プロンプトインジェクションへの対策指針も示されました。
ある国内のソフトウェア企業を想像してみてください。経験の浅い開発者が、AIに「このエラー直しておいて」と気軽に頼みます。それだけで会社のクラウド鍵が流出する。Agentjackingは、そんな日常のひとコマに潜むリスクなのです。
私たちにできる対策
では、どう身を守ればいいのでしょうか。Tenet Securityは具体的な手立てを示しています。
いちばん速いのはSentry MCPを切ること
もっとも手早い対策は、Sentry MCP連携を無効にすることです。これだけで、今回の攻撃の入り口がなくなります。
業務でどうしても必要なければ、まず連携を切るのが安全です。
無料ツール「Agent-JackStop」を使う
Tenetは、対策ツール「Agent-JackStop」を無料で公開しました。
これはCursorやClaude Codeに入れるだけの設定ファイルです。信頼できないデータからの命令注入を防ぎ、攻撃のリスクを下げてくれます。GitHubで入手できます。
日々の心がけ
専門ツール以外にも、できることはあります。
- AIに外部データを扱わせるときは、内容を一度自分で確認する
- AIが実行しようとするコマンドを、自動ではなく手動で承認する
- 大切な認証情報は、AIが触れる環境変数に置かない
- AIエージェントに与える権限を、必要最小限にしぼる
「AIは便利だけど、外から来た情報は疑う」。この姿勢が、いちばんの防御になります。
よくある質問(FAQ)
Q1. Agentjackingは、もう実際の被害が出ているのですか?
今回の発表は、研究チームによる「実演(概念実証)」です。攻撃が現実に可能だと示した段階で、悪用された被害が広く報告されているわけではありません。ただし、放置すれば現実の脅威になり得るため、早めの対策が大切です。
Q2. Claude CodeやCursorは使わないほうがいいのですか?
そんなことはありません。ツール自体が危険なのではなく、外部データを無防備に信じてしまう使い方が問題です。Agent-JackStopの導入や設定の見直しで、安全に使い続けられます。
Q3. Sentryを使っていなければ安全ですか?
今回の攻撃はSentryを入り口にしていますが、本質は「AIがデータと命令を区別できない」点にあります。ほかの外部ツール経由でも、似た攻撃が起こる可能性はあります。油断は禁物です。
Q4. 一般の人も気をつける必要がありますか?
直接の標的は開発者ですが、被害が広がればサービス利用者にも影響します。あなたが使うアプリの裏側で、こうしたリスクが管理されているか。それを意識するだけでも一歩前進です。
Q5. 対策にお金はかかりますか?
Agent-JackStopは無料で公開されています。Sentry MCPを切るのも費用はかかりません。コストよりも「気づいて動くこと」が重要です。
まとめ
今回のポイントを振り返ります。
- Agentjackingは、偽エラー報告でAIコーディングツールを乗っ取る新攻撃
- Claude Code・Cursor・Codexで85%の高い成功率を記録した
- たった1回のリクエストで、認証情報を盗まれる危険がある
- 既存のセキュリティ対策をすり抜けるのが最大の脅威
- Sentry MCPの無効化や無料ツール「Agent-JackStop」で対策できる
AIエージェントは、これからますます仕事を任される存在になります。だからこそ、「AIに何を信じさせるか」を私たち自身が管理する必要があります。まずは自分の使うAIツールの外部連携設定を、今日見直してみましょう。
参考文献
- The Hacker News – Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code
- Tenet Security – One Fake Bug Report Hijacked a $250B Company’s AI Agent
- The New Stack – A public Sentry key is all it takes to hijack Claude Code, Cursor, and Codex
- Infosecurity Magazine – New “Agentjacking” Attacks Could Hijack AI Coding Agents
- DevelopersIO – 総務省「AIのセキュリティ確保のための技術的対策に係るガイドライン」解説
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
