1時間で完全乗っ取り、AIエージェントの実力
Codewallの自律型AIエージェントは、Jack & Jillという採用プラットフォームに対して、4つの脆弱性を次々と連鎖させて侵入しました。この攻撃の深刻度を示すCVSSスコアは9.8。10点満点中9.8なので、ほぼ最高レベルの危険度です。
具体的な攻撃手順はこうです。まずエージェントは、内部APIドキュメントを公開してしまうURLフェッチャーの脆弱性を発見しました。次に、認証サービスのテストモードが本番環境で有効になっており、静的なワンタイムコードで簡単にログインできることを突き止めます。さらに、企業のオンボーディング時にロールチェックが行われていないこと、メールドメインだけでユーザーを企業に割り当てるエンドポイントが存在することを利用しました。
これらを組み合わせた結果、エージェントは自社ドメインでアカウントを作成し、テストモードで認証を通過、既存企業に自動的に割り当てられ、オンボーディング後には完全な管理者権限を手に入れたのです。管理者になってしまえば、チームメンバーの個人情報、採用契約の全文、求人情報の操作、企業のAIアシスタントへのアクセスなど、やりたい放題です。
トランプ大統領を騙って音声AIと会話
侵入テストはここで終わりませんでした。エージェントは認証なしで接続できる音声インフラを発見し、自律的にテストを開始します。テキスト読み上げで合成音声を生成し、AIエージェント「Jack」と28回もの会話を実施しました。
最初は無害な候補者の質問から始まり、徐々にソーシャルエンジニアリングやジェイルブレイク(セキュリティ制限の回避)を試みます。最も驚くべきは、エージェントがドナルド・トランプを騙り、5億ドルで買収したいと主張したケースです。Jackは前提を疑うことなく「大統領閣下(Mr. President)」と呼びかけて応答したといいます。
ガードレール自体は維持されていたものの、Jackは著しいハルシネーション(AIが事実と異なる情報を生成すること)を起こしており、音声AIの信頼性に大きな疑問符がつく結果となりました。
McKinseyの内部ツールも侵害、ただし誇張の指摘も
Codewallによれば、同じエージェントは数日前にMcKinseyの内部AIプラットフォーム「Lilli」にも侵入し、約2時間で4,650万件のチャットメッセージを含む本番データベースへの読み書きアクセスを取得したとのことです。McKinseyはこの脆弱性を確認し1日以内にパッチを適用しましたが、クライアントデータへの不正アクセスはなかったと強調しています。
ただし、セキュリティアナリストのEdward Kiledjianは、Codewallの主張について慎重な姿勢を示しています。彼によれば「記述された攻撃チェーンは技術的に妥当だが、Codewallのブログ投稿は実際に実証されたことを誇張し、アクセスと実際のデータ持ち出しの境界を曖昧にしている」とのこと。つまり、システムにアクセスできたことと、実際にデータを大量に持ち出せたことは別の話だということです。
記事はCodewall自身の情報のみに基づいており、独立した第三者による検証は現時点で公表されていないことも留意すべき点です。
Jack & Jillとは何か
今回侵入されたJack & Jillは、ロンドン拠点のAIスタートアップで、2,000万ドルのシード資金を調達しています。2つのAI音声エージェントを運営しており、「Jack」は求職者の就職支援、「Jill」は企業の採用支援を行います。クライアントリストにはAnthropic、Stripe、Monzo、Cursorなど、名だたる企業が含まれていると報告されています。
脆弱性は開示後、Jack & Jillがすぐにパッチを適用しました。迅速な対応は評価できますが、そもそもこれだけの脆弱性が本番環境に存在していたこと自体が問題です。
AIエージェントがセキュリティの新たな脅威に
AIエージェントはサイバーセキュリティに新たな前線を開いています。複数の研究で深刻なセキュリティ上の弱点が確認されており、最も一般的な攻撃はプロンプトインジェクション(AIに悪意ある指示を注入すること)です。
興味深いのは、AIエージェントがサイバーセキュリティ競技会で人間のレッドチーム(攻撃側)を上回る成績を収めているという事実です。人間のアナリストが見逃す脆弱性を発見する能力があり、今回のような自律的な侵入テストが現実になっています。
リスク軽減の唯一の信頼できる方法は、エージェントの能力を意図的に制限することだと専門家は指摘します。具体的には、システムプロンプトのロックダウン、アクセス制限、ツール使用の制限、重要なアクションへの人間の承認要求などです。
フリーランスへの影響
この事例は、フリーランスや個人事業主にとって複数の意味を持ちます。まず、AIツールを業務に導入する際のセキュリティリスクです。採用支援ツール、営業支援ツール、顧客管理ツールなど、多くのAIサービスが登場していますが、セキュリティが十分でない可能性があることを認識すべきです。
特に、クライアントの個人情報や機密情報を扱う場合は注意が必要です。AIツールに情報を入力する前に、そのツールのセキュリティポリシーやデータの取り扱い方針を確認することをおすすめします。大手企業のツールだから安全とは限らず、今回のMcKinseyの事例がそれを示しています。
一方で、セキュリティテストやバグ発見の分野では、AIエージェントの活用が新たなビジネスチャンスになる可能性もあります。技術的なバックグラウンドがある方なら、AIを使ったセキュリティテストのスキルを磨くことで、差別化につながるかもしれません。
また、音声AIのハルシネーション問題は、顧客対応や営業活動にAIを導入する際の懸念材料です。トランプ大統領を騙る声に「大統領閣下」と応答してしまうレベルなら、実際のビジネスシーンで使うのは時期尚早かもしれません。AIに任せきりにせず、人間がチェックする体制が当面は必要でしょう。
まとめ
今回の事例は、AIツールの便利さと危険性が表裏一体であることを示しています。フリーランスとして取るべきアクションは、まず使っているAIツールのセキュリティを見直すことです。特にクライアントデータを扱うツールは要注意です。二要素認証の有効化、アクセス権限の最小化、定期的なパスワード変更など、基本的な対策を徹底しましょう。
音声AIや自律型エージェントの導入は、もう少し様子を見てからでも遅くありません。技術は日々進化していますが、セキュリティが追いついていない現状を理解した上で、慎重に判断することをおすすめします。
参考リンク:The Decoder – Codewall’s AI agent hacked an AI recruiter
コメント