AIコーディングエージェントを外部から乗っ取る新しい攻撃クラス「Agentjacking」が2026年6月に公開されました。エラー追跡サービスSentryの仕組みを悪用し、Claude Code・Cursor・CodexといったAIエージェントに任意のシェルコマンドを実行させるもので、攻撃成功率は85%、影響を受ける組織は2,388件に上ります。認証不要・事前侵害なしで開発者マシン上でコードが実行される点が深刻で、AIコーディングツールを使う開発者全員が対象となりえます。
背景と文脈
Agentjackingが成立する背景には、現代のAIコーディングエージェントが外部ツールと密接に連携している点があります。Claude CodeやCursorのようなエージェントは、MCP(Model Context Protocol:AIモデルが外部ツールや情報源に接続するためのプロトコル規格)を介して開発ツールと統合されています。エラー追跡ツールのSentryも、この統合先の一つです。
Sentryはオープンソースのエラー追跡プラットフォームで、アプリケーションの例外やバグを収集・可視化するために開発現場で広く使われています。Sentryにエラーを送信するには、DSN(Data Source Name:送信先を識別するための認証文字列)が必要ですが、このDSNは一般的にフロントエンドコードやログ設定の中に公開された形で含まれています。
セキュリティ企業Tenet Securityは2026年6月3日、この問題をSentryに開示しました。Sentryは問題を認識しつつも「プラットフォームレベルでの構造的な修正は技術的に不可能」と判断し、特定のペイロード文字列をフィルタリングする最小限の対応にとどめています。AIエージェントが日常的な開発ワークフローに深く組み込まれた今、信頼された外部ツールを経由した攻撃経路が現実の脅威として浮上しました。
技術/ビジネス面
攻撃の流れはシンプルです。攻撃者はまず、標的組織の公開DSNをソースコードやエラーログから入手します。次に、悪意のある命令を埋め込んだ偽のエラーイベントをHTTP POSTでSentryに送信します。AIエージェントはMCP経由でSentryを参照した際に、このイベントを「アプリケーションから報告された本物のエラー」と認識し、エラー解消のための診断ステップとして埋め込まれた命令を実行してしまいます。
Tenet Securityの検証では、Claude Code・Cursor・Codexの3エージェントで成功率85%を記録しました。一つのPOSTリクエストで2,388の組織を同時に標的にできることも確認されています。実際に確認されたリスクとしては、環境変数(APIキーなどの認証情報を含む)の流出、Gitクレデンシャルの窃取、プライベートリポジトリURLへのアクセスなどがあります。
この攻撃が特に深刻な理由は、AIエージェントが信頼境界を持たない点にあります。LLMは文脈から判断するため、信頼できるはずのSentryからのデータを疑いません。MCP統合の仕組み上、外部ツールから届く情報は原則として正当な指示として扱われます。Tenet Securityのブログでは、$2,500億規模の企業のAIエージェントが偽のバグレポート1件で乗っ取られた実例も公開されています。
これからどうなるか
Sentryが根本的な修正を行っていないため、現時点では開発者側での対応が必要です。DSNの公開範囲を最小化することが最初のステップで、パブリックリポジトリやフロントエンドバンドルへのDSN埋め込みは避けるべきです。AIエージェントが実行できるシェルコマンドの種類をホワイトリストで制限する運用も有効です。
Claude CodeやCursorを使っている開発者は、SentryのMCP統合を一時的に無効化するか、エージェントが外部エラートラッキングにアクセスするフロー自体を見直すことが即効性のある対策になります。より広い視点では、AIエージェントが「信頼できる外部情報源」として扱うツールの範囲をどう制御するかという設計上の課題です。エージェントの普及に伴い、MCPの信頼境界を明示的に管理する仕組みが今後の開発標準として整備されていくでしょう。自社のパイプラインにAIエージェントを組み込む場合は、エージェントが参照できるデータソースの権限管理をセキュリティ要件として同等に扱う必要があります。
まとめ
Agentjackingは、信頼された外部ツールを経由してAIコーディングエージェントを乗っ取る新手法です。事前侵害なし・成功率85%という高い脅威レベルで、根本的な修正はまだ行われていません。DSNの公開範囲を絞り、エージェントが実行できる操作を制限する対策を今すぐ講じることが重要です。
参考リンク
- New Agentjacking Attack Hijacks Your AI Coding Agent to Run Code From a Hacker’s Server
- One Fake Bug Report Hijacked a $250B Company’s AI Agent – Tenet Security
- New “Agentjacking” Attacks Could Hijack AI Coding Agents – Infosecurity Magazine
アイキャッチ画像: Photo by Tom Sodoge on Unsplash
