Agentjacking 攻撃 は、偽の Sentry エラー報告を MCP 経由で AIコーディングエージェントに信頼させ、開発者の権限で任意コードを実行させる新しい攻撃クラスです。
📖 この記事で分かること
- AIコーディングエージェントを乗っ取る新攻撃「Agentjacking」の仕組み
- Sentry の公開 DSN と MCP 連携が悪用される理由
- 影響範囲(2,388 組織・成功率 85%)と確認された被害
- 開発現場で取れる現実的な防御の方向性
💡 知っておきたい用語
- MCP:AI エージェントが外部ツールやデータ源とやり取りするための共通の窓口。ここを通って入った情報をエージェントは「信頼できる」と扱いがち。
最終更新日: 2026年6月22日
▶ 公式ページ
- Agentjacking 研究レポート(Tenet Security)
Agentjacking とは何か
Agentjacking は、AIコーディングエージェントを騙して攻撃者の任意コードを開発者のマシン上で実行させる新しい攻撃クラスです。セキュリティ企業 Tenet Security が 2026 年 6 月 17 日に研究レポートを公開しました。
この記事のポイント
- Tenet Security が 2026 年 6 月 17 日、AIコーディングエージェントを乗っ取る攻撃「Agentjacking」を公開。
- 偽の Sentry エラーを MCP 経由で「信頼された情報」として読ませ、Claude Code・Cursor・OpenAI Codex に攻撃コマンドを実行させる。
- 脆弱な公開 DSN を持つ組織は 2,388 件、検証での成功率は 85%(2026年6月時点)。
報告によれば、攻撃者は標的のコードに紛れ込んだエラー監視サービスの認証情報を使い、偽のエラー報告を一件投げ込むだけで攻撃の起点を作れます。開発者が「このエラーを直して」とエージェントに頼んだ瞬間に、仕込まれた命令が開発者本人の権限で走るという流れです。
攻撃が成立する仕組み
攻撃の本質は、エラー監視サービス Sentry の設計と、AI エージェントとの連携部分にあります。Tenet Security は次の連鎖を示しています。
- 攻撃者が標的の Sentry DSN を入手する。DSN は Web サイトなどに埋め込まれる公開・書き込み専用の認証情報で、誰でもイベントを投稿できる。
- 細工したエラーイベントを投稿する。メッセージ欄やキー名にマークダウンを仕込み、Sentry 純正の「解決手順(Resolution)」表示そっくりに見せる。
- Sentry MCP サーバがそのイベントを AI エージェントに「システム由来の信頼された出力」として返す。
- 開発者がエージェントに「この Sentry のエラーを調べて直して」と依頼すると、エージェントは偽の手順を正規の修正ガイドと区別できないまま実行する。
- コードは開発者の権限で走り、環境変数・AWS キー・各種認証情報が流出する。
侵入(ブリーチ)を伴わない点が特徴です。攻撃者は公開 API の正規の使い方だけで攻撃を仕掛けられ、エラーログという「直すために読むもの」がそのまま命令の運び手になります。Tenet Security は「エージェントはこれを正当なガイドと区別できない」と説明しています。
影響範囲と確認された被害
数値は研究レポートに沿って整理します。Tenet Security は、公開 API のみを使って脆弱な DSN を持つ組織を 2,388 件特定しました(うち 2,221 件は実際のテストを行っていない)。検証では 100 件を超える組織でエージェントが埋め込みコードを実際に実行し、人気エージェント全体での成功率は 85%(2026年6月時点)に達したとされます。
影響を受けたのは Claude Code・Cursor・OpenAI Codex を含む主要エージェントで、macOS・Windows・WSL・コンテナ・CI/CD と幅広い実行環境にまたがります。被害確認には、時価総額 2,500 億ドル規模(Fortune 100 級)の企業 1 社も含まれていました。独立系の個人開発者から大企業まで対象が連続している点が、この攻撃の射程の広さを示しています。
開示と Sentry 側の対応
Tenet Security は連鎖を確認した 2026 年 6 月 3 日に Sentry へ報告しました。Sentry は同日に問題を認めたものの、取り込み層での根本修正は見送り、この種の問題は「技術的に防御不能(technically not defensible)」とコメントしたとされます。研究の一般公開は 6 月 17 日です。
Sentry は当面の措置として、概念実証(PoC)で使われた特定のペイロード文字列をグローバルなコンテンツフィルタで遮断しました。ただし、コードスニペットや修正手順を含む正当なエラーメッセージと、悪意あるペイロードを取り込み時点で見分けるのは難しく、これは応急処置にとどまります。攻撃の自由度を考えると、文字列単位のフィルタでは回避の余地が残ります。
編集部の見方
信頼境界の置き場所が問題の核心:今回の弱点は Sentry 単体のバグというより、「外部から書き込めるデータ」を AI エージェントが「信頼された出力」として扱う設計にあります。MCP は便利な反面、入ってきた情報の出所と信頼度をエージェント側が区別しにくい。telemetry や issue トラッカーのように外部入力が混ざる経路ほど、この前提が崩れます。
「自動で直して」を無条件にしないこと:エラーの修正提案には外部由来のテキストが混ざり得ます。エージェントに修正手順を実行させる前に、提案内容を人が一読する運用へ戻すだけでもリスクは大きく下がります。コマンド実行を伴うステップは承認制にする、実行環境を最小権限のサンドボックスに寄せる、といった既存のセキュリティ原則がそのまま効きます。
誰に効く話か:Sentry MCP に限らず、外部データソースを MCP 経由でエージェントに読ませている開発チーム全般に関係します。tech-noisy 編集部としては、コーディングエージェントを業務に組み込むほど「エージェントが読む外部データは攻撃面になる」という前提を運用ルールに入れておくべきだと考えます。
まとめ
Agentjacking は、偽のエラー報告一件で AIコーディングエージェントに任意コードを実行させる攻撃です。Sentry の公開 DSN と MCP 連携という、利便性のために作られた仕組みがそのまま攻撃経路になりました。文字列フィルタは応急処置にとどまり、外部入力を「信頼された出力」として扱わない設計と、コマンド実行の承認・権限分離が現実的な防御線になります。
よくある質問
Q: Sentry を使っていなければ安全ですか?
A: 今回の起点は Sentry の公開 DSN ですが、本質は「外部から書き込めるデータを MCP 経由でエージェントが信頼してしまう」点にあります。issue トラッカーやログ収集など、外部入力が混ざる他の連携でも同種のリスクは起こり得ます。
Q: Claude Code や Cursor 自体の脆弱性ですか?
A: 特定製品単体の欠陥というより、エージェントが外部データを信頼された手順として実行してしまう共通の構造的問題です。研究では Claude Code・Cursor・OpenAI Codex を含む複数エージェントで成立が確認されています。
Q: いま開発チームが取れる対策は?
A: コマンド実行を伴うステップを承認制にする、エージェントの実行環境を最小権限のサンドボックスに寄せる、エラー修正提案を実行前に人が確認する、といった運用が有効です。
まとめ
偽のエラー報告から AIコーディングエージェントを乗っ取る Agentjacking は、外部データを信頼された出力として扱う設計の危うさを突いた攻撃です。エラー監視や issue 連携を MCP でエージェントに読ませている現場では、外部入力を攻撃面とみなし、コマンド実行の承認と権限分離を前提に組み直す段階に来ています。
【用語解説】
- Agentjacking: AIコーディングエージェントを騙し、攻撃者の任意コードを開発者の権限で実行させる攻撃手法。Tenet Security が命名・公開した。
- DSN【ディーエスエヌ】: Sentry にエラーを送るための接続情報。公開・書き込み専用のため、第三者でもイベントを投稿できる。
- MCP【エムシーピー】: AI エージェントが外部ツールやデータ源と連携するための共通プロトコル。返ってきた情報を信頼された出力として扱いやすい点が今回の弱点につながった。
引用元:
- [1] Agentjacking: Coding Agents With Fake Sentry Errors(Tenet Security)
- [2] CSA Research Note: Agentjacking MCP / Sentry Injection(Cloud Security Alliance)
- [3] Agentjacking Attack Tricks AI Coding Agents Into Running Malicious Code(The Hacker News)
この記事について: AI 支援で執筆、編集部が事実確認・編集しています。誤りや追加情報があれば Contact よりお知らせください。
Previous Post
先週のAI公式発表を5分でチェック AIニュースまとめ 2026-06-15〜06-21
Next Post
NVIDIA ENPIRE 発表。AIエージェントでロボット方策を自律改善、成功率99%
15 年以上の開発経験を持つソフトウェアエンジニア / テクノロジーライター。AI エージェントの実務活用を研究し、現場や経営者向けセミナーでその知見を発信。本メディア tech-noisy.com では、一次情報に基づく最新ニュース・解説記事を執筆。また、音楽生成 AI による DJ パフォーマンスを企業イベントで行うなど、テクノロジーと表現の融合も探求している。
