概要：AIアシスタントを悪用した新たな脅威

Operant AIのセキュリティ研究チームは、AIアシスタントを悪用して機密データを窃取する危険なゼロクリック攻撃「Shadow Escape」を発見しました。この攻撃は、Model Context Protocol（MCP）を悪用し、ChatGPT、Claude、Geminiなど、組織システムに接続する幅広いAIエージェントに影響を与えます。従来のフィッシングや悪意のあるリンクを必要とせず、信頼されたシステム内で完結するため、標準的なセキュリティ対策では検知が困難です。

攻撃の仕組み：日常的なワークフローの悪用

この脆弱性は、ごく一般的な業務から始まります。例えば、従業員がPDF形式の取扱説明書をAIアシスタントにアップロードするようなケースです。AIアシスタントはMCP機能を介して、顧客関係管理システム、Google Drive、SharePoint、社内データベースへの正当なアクセス権を持っています。

従業員がAIにCRMから顧客情報を要約するよう依頼すると、AIは名前やメールアドレスなどの基本的な情報を引き出し始めます。しかし、AIの「役に立ちたい」というプログラミングにより、関連する追加データも提案します。数分以内に、AIは複数のデータベースを横断的に接続し、社会保障番号、CVVコード付きのクレジットカード情報、医療記録識別子、その他の保護された健康情報を表面化させます。従業員はこれらの機密データを要求しておらず、通常のチャネルではアクセス権がない場合もあります。AIアシスタントは、人間が知らないデータベースのテーブルや接続を自律的に発見し、複雑なデータベースクエリをリアルタイムで生成します。

金融情報（完全な銀行記録や取引履歴）、医療記録（メディケア詐欺に必要なあらゆる情報）、従業員の報酬データ（納税者識別番号）など、AIはシステム内の個人に関する包括的な情報を収集します。

最も危険な段階：データ流出

最も危険な段階は、一見無害なPDFに埋め込まれた隠れた指示が作動する時です。これらの悪意のある指示は人間には見えませんが、AIには明確に理解されます。AIアシスタントは、MCP対応機能を使用してHTTPリクエストを行い、すべての機密記録を含むセッションログを外部の悪意のあるエンドポイントにアップロードします。このデータ流出は、日常的なパフォーマンス追跡として偽装されるため、警告やファイアウォール違反を引き起こしません。従業員はデータ窃盗が発生していることに気づくことはありません。

影響と対策

Operant AIはこの攻撃をOpenAIに報告し、データガバナンスとプライバシーに対するこの新たな脅威に対処するためのCVEを提出しました。NISTの元サイバーセキュリティ責任者であるDonna Dodson氏によると、Shadow Escape攻撃は、MCPとエージェントのアイデンティティを保護することの重要性を示しています。

この攻撃は標準的なMCP構成とデフォルトの権限設定を悪用するため、医療、金融サービス、重要インフラを含む業界全体で、数兆件の記録がデータ漏洩の可能性にさらされる可能性があります。この脆弱性は、ChatGPTやClaudeのような主要プラットフォームから、カスタムのエンタープライズコパイロット、オープンソースの代替品まで、MCP対応AIエージェントを使用するあらゆる組織に影響を与えます。共通の脅威は、AIエージェントにデータベース、ファイルストレージ、外部APIなどの組織システムへの前例のないアクセスを許可するModel Context Protocolそのものにあります。

元記事: https://gbhackers.com/zero-click-exploit-targets-ai-agents/