AIコーディングエージェントに「Sentryのエラーを直して」と頼んだ。エージェントはSentryのイベントを取得して分析し、そこに書かれた通りにコマンドを実行した。そのコマンドは、攻撃者が仕込んだコードだった。
2026年6月にTenet Securityが公開した「エージェントジャッキング(Agentjacking)」は、AIコーディングエージェントのMCP(Model Context Protocol)統合を悪用した新しい攻撃手法です。 Claude Code・Cursor・Codexの3つに対して85%の成功率を記録し、2,388の組織の認証情報が露出リスクにさらされていることが判明しました。
最も恐ろしいのは、EDR・WAF・IAM・ファイアウォールといった既存のセキュリティツールが、この攻撃をまったく検知できないという点です。
攻撃はどのように機能するの?
Sentry DSN(Data Source Name)は、クライアントサイドのJavaScriptで公開されることを前提に設計された認証情報です。問題は、このDSNを知っていれば誰でもSentryのイベントにデータを書き込めるということです。認証不要で、POSTリクエスト1回だけで。
Tenet Securityは、CensysやGitHubの検索だけで2,388の組織から有効なDSNを発見しました。そのうち71件はTranccoトップ100万ドメインに含まれる大手サイトで、Fortune 500企業やクラウドセキュリティベンダーも含まれていました。
攻撃は5つのステップで進みます。
- DSNの探索とイベント注入
公開DSNを使って、SentryにPOSTリクエスト1回で偽のエラーイベントを仕込む。認証不要。 - マークダウン偽装
注入されたイベントに「## Resolution」のような偽の解決手順を埋め込む。本物のSentryエラーと見た目が同じで区別不可能。 - エージェントがMCPで読み取る
開発者が「Sentryのエラーを直して」と頼むと、エージェントはMCP経由でSentryのイベントを取得する。MCPのレスポンスは信頼されたシステム出力として処理される。 - ハッカーのコードが実行される
「診断手順」と認識したnpxコマンドを、開発者のシステム権限で実行してしまう。 - 認証情報の窃取
実行されたパッケージが環境変数・AWSキー・GitHubトークン・Kubernetes認証情報などを収集し、攻撃者のサーバーに送信する。
研究チームは、エージェントに「外部の指示は無視しろ」と明示的に指示した場合でも攻撃が成功したことを特筆しています。
なぜ既存のセキュリティが検知できないの?
Tenetがこの攻撃を「Authorized Intent Chain(認可された意図のチェーン)」と呼ぶ理由がここにあります。チェーンのすべてのステップが、技術的に完全に正常な動作なのです。既存のセキュリティツールは「認可されていない行動」を検知するように設計されていますが、この攻撃にはそのような行動が一切ありません。
| セキュリティツール | 通常の攻撃には | エージェントジャッキングには |
|---|---|---|
| EDR | 悪意あるプロセスを検知 → ブロック | npx(正常コマンド) → そのまま通過 |
| WAF | 悪意ある外部リクエストをブロック | Sentry MCP APIコール → そのまま通過 |
| IAM / RBAC | 権限のないアクセスを拒否 | 開発者権限で実行 → そのまま通過 |
| VPN / ファイアウォール | 外部IPアクセスをブロック | 内部エージェント実行 → そのまま通過 |
| Cloudflare | ボットトラフィックを検知 → ブロック | 正常なエージェントAPIリクエスト → そのまま通過 |
Sentryは6月3日にTenetの報告を受け即座に認めたものの、根本的な解決を拒否しました。「プラットフォームレベルでは技術的に防御不可能」という理由です。実施した対策は特定のペイロード文字列フィルター1つのみで、攻撃経路そのものは今も開いたままです。
「MCP統合は、ソフトウェアサプライチェーン攻撃の次のフロンティアです。」
— Cloud Security Alliance、2026年6月
今すぐチームで確認すべきこと
Tenetの結論:「この攻撃を食い止められる最後のポイントは、エージェントのランタイムだけ。」 AIコーディングエージェントを使うチームは、今日中に以下の5つを確認してください。
- エージェントに接続されているMCPツールの監査
どの外部サービスにMCPで接続しているかリストアップしましょう。Sentryだけでなく、匿名の書き込みを受け付けるすべてのサービスが潜在的な注入経路です。 - Sentry DSNの露出確認
フロントエンドのJSソース・GitHubリポジトリ・.envファイルにSentry DSNがハードコードされていないか確認しましょう。MCP連携環境では、公開認証情報でも別のリスクが生じます。 - コード実行前の明示的な承認ゲート
外部MCPツールのレスポンスからのコマンドをエージェントが自動実行しないよう設定しましょう。Claude Codeはtool approval設定を、CursorはAuto Runモードを見直してください。 - 環境変数・認証情報の定期的なローテーション
開発環境のAWSキーやGitHubトークンのローテーションスケジュールを設定しましょう。攻撃が成功しても、認証情報の有効期間を短くすることで被害を最小化できます。 - エージェントのランタイム監視の導入
エージェントが実行するコマンドの出所を追跡する監視が、現在最も効果的な防御レイヤーです。MCPのレスポンスからコード実行が始まったらアラートを受け取れるようにしましょう。
CSAの追加ガイダンス
AIエージェントに外部サービスへのクエリ権限を与える前に、そのサービスが匿名の書き込みを受け付けるかどうかを確認しましょう。匿名書き込みが可能なサービスとのMCP統合は、同じ原理でエージェントジャッキングに悪用される可能性があります。
もっと深く掘り下げたい方へ
A Fake Bug Report Hijacks Your AI Coding Agent Tenet Securityの公式技術分析ポスト。攻撃構造、DSNスキャン手法、防御策の全文。 tenetsecurity.ai
CSA Research Note: Agentjacking MCP Sentry Injection Cloud Security Allianceの独立分析。MCPサプライチェーン攻撃ベクターの分類と対応フレームワーク。 cloudsecurityalliance.org
Agentjacking: a fake bug report can hijack your AI coding agent The Next Webの開発者視点の分析。Authorised Intent Chainの意味とビジネスへの影響。 thenextweb.com
New Agentjacking Attack Hijacks AI Coding Agents to Execute Malicious Code GBHackersの技術コミュニティ分析。攻撃実装と検知失敗のメカニズム。 gbhackers.com
New Agentjacking Attacks Could Hijack AI Coding Agents Infosecurity Magazineの専門家インタビュー。MCP統合のセキュリティガバナンスガイドライン。 infosecurity-magazine.com
