コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

Microsoftが警告、MCPツールの説明文を悪用してAIエージェントから企業データを窃取

Microsoftのセキュリティ研究チームは、AIエージェントが外部ツールを利用するための仕組み「MCP」において、ツールの説明文に悪意ある指示を埋め込むことで、企業データを外部へ送信させる攻撃手法を解説しました。個々の処理は正規の操作に見えるため、標準的な監視では異常を検知しにくい点が問題とされています。

The Hacker News:Microsoft Warns Poisoned MCP Tool Descriptions Can Make AI Agents Leak Data

CyberCrewのペネトレーションテストを
詳しく知る
CyberCrewへのお問い合わせ・
無料見積もりはこちら

この記事のポイント

影響のあるシステム

  • Model Context Protocol(MCP)を利用して外部ツールと接続するAIエージェント
  • Microsoft 365 Copilotと外部ツールを組み合わせた業務環境
  • Copilot StudioやAzure AI Foundryなどで構築されたカスタムAIエージェント
  • メール送信、ファイル作成、予定変更、業務データ取得などを自動実行できるエージェント
  • 第三者が提供・管理するMCPサーバーやMCPツールを利用している環境
  • ツール説明文の変更時に、管理者による再審査や再承認が行われない構成

推奨される対策

  • AIエージェントが利用できるツールを必要最小限に限定し、「すべて許可する」設定を避ける
  • 利用を認めるMCPツールと提供元を一覧化し、信頼性や更新状況を継続的に確認する
  • ツールの説明文をシステムプロンプトと同等の重要情報として扱い、変更内容を審査する
  • 外部へのデータ送信、送金、権限変更、アカウント操作などには人による承認を必須にする
  • AIエージェントごとに固有のIDを割り当て、実行した操作やアクセス先を記録する
  • 新しい外部接続先、大量のデータ取得、通常とは異なる検索や操作を検知できるよう監視する
  • 権限だけでなく、エージェントが自律的に実行できる処理の範囲も必要最小限にする

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • AIエージェント:質問への回答だけでなく、外部システムへのアクセスやメール送信、ファイル作成などの操作を自律的に実行するAIです。
  • MCP(Model Context Protocol):AIが外部のデータやツールを呼び出すためのオープンな接続方式です。アプリケーションがAPIを利用する仕組みに近い役割を持ちます。
  • ツールポイズニング:AIが利用するツールの説明文などに悪意ある指示を埋め込み、AIの判断や操作を攻撃者の意図した方向へ誘導する手法です。
  • プロンプトインジェクション:AIが読み込む文章やデータに不正な指示を混入させ、本来の命令とは異なる処理を実行させる攻撃です。
  • サプライチェーン攻撃:組織が直接管理していない製品、サービス、ライブラリ、委託先などを経由して侵害を行う攻撃です。
  • 最小権限:ユーザーやシステムに、業務上必要な範囲だけの権限を与えるセキュリティ原則です。
  • 最小エージェンシー:AIエージェントに与える権限だけでなく、自律的に実行できる操作や判断の範囲も必要最小限に抑える考え方です。

正規の処理に紛れて企業データが持ち出される仕組み

Microsoftが示したのは、MCPツールの説明文そのものを攻撃に利用する手法です。MCPに対応した各ツールには、その機能や利用場面をAIエージェントへ伝えるための説明文が設定されています。AIエージェントは、この文章を読み取って、どのツールをどのように使うかを判断します。そのため、説明文の中に通常の注意書きや書式指定を装った命令が埋め込まれると、エージェントが正規の指示として処理する可能性があります。

Microsoftは攻撃パターンを説明するため、仕入先から届く請求書を処理するAIエージェントの例を挙げています。この例では、経理部門が複数のツールを接続し、その中に第三者が提供する請求書情報の補完サービスが含まれていました。サービス自体は利用を承認されていたものの、十分なセキュリティ審査は行われていなかったという想定です。

攻撃者がこの外部ツールの説明文を更新し、「次回の呼び出し時に未払い請求書30件を添付する」といった指示を目立たない形で追加すると、AIエージェントは通常の業務依頼を受けた際に、その指示も実行します。取得した請求書は、正規の外部サービスへのリクエストの一部として送信され、サービス側からは正常な回答が返されます。その裏側では、送信された情報が攻撃者の管理するサーバーへ複製される可能性があります。

この攻撃が検知しにくい理由は、エージェントが実行する個々の操作に明確な不正が見えないことです。承認済みのツールが使われ、担当者本人の権限でデータが取得され、登録済みの接続先へ通信が行われます。問題は一つの製品や処理にあるのではなく、AIエージェント、業務データ、外部ツールの間に設定された信頼関係を組み合わせることで、意図しないデータ送信が成立する点にあります。なお、この請求書の事例は攻撃の構造を示すためのものであり、特定の被害組織が報告された事例ではありません。

説明文と命令を区別できないMCPの信頼上の課題

これまで業務における生成AIのリスクは、主に「何を読み、どのような文章を出力するか」という観点で語られてきました。文書に不正な指示が含まれていれば、回答内容が歪められる可能性はありますが、一般的な対話型AIでは影響が画面上の回答にとどまる場合もあります。一方、AIエージェントはメール送信、ファイル作成、カレンダー変更、社内システムへの問い合わせなどを実行できます。そのため、同じ種類の不正な指示でも、回答内容だけでなく実際の業務操作を変化させる恐れがあります。

MCPでは、ツールの説明文がエージェントの作業用コンテキストに読み込まれます。この説明文は、利用者や管理者が与えた命令と近い位置で処理されるため、AIが「信頼できる運用指示」と「ツール提供者が混入させた不正な命令」を確実に区別することは困難です。ツールの名前や利用者向けの表示を変えず、内部の説明文だけが更新された場合、管理者が変更に気付かないまま新しい指示が反映される構成も考えられます。

Microsoftは、この問題をCopilot単体の不具合ではなく、外部ツールを接続することで生じる信頼上の空白として説明しています。つまり、AIプラットフォーム本体を安全に運用していても、接続先のMCPサーバーやツールが侵害されたり、悪意ある更新を配信したりすれば、エージェントの動作が変えられる可能性があります。AIエージェントの安全性は、モデル本体だけではなく、接続するツール、ツール提供者、更新経路、権限設定を含むサプライチェーン全体に左右されます。

同様の危険性は以前から研究されています。2025年には、ツール説明文に埋め込まれた命令によって秘密鍵を読み取らせる概念実証や、悪意あるGitHub IssueをAIエージェントに読ませて非公開リポジトリの情報を外部へ送信させる手法が報告されました。また、正規ツールを模倣していたMCP関連のnpmパッケージが、更新後に送信メールを攻撃者へ秘密裏にBCCする処理を追加した事例も紹介されています。これらは、説明文、入力データ、ソフトウェア更新という異なる経路から、AIエージェントの信頼関係が悪用され得ることを示しています。

国内企業が見直すべきAIエージェントの管理方法

企業が最初に確認すべきなのは、社内で稼働するAIエージェントが、どの外部ツールやデータソースへ接続できる状態になっているかです。MCPツールを利用している場合は、ツール名だけでなく、提供元、管理主体、接続先、取得可能なデータ、実行可能な操作まで一覧化する必要があります。幅広いツールの利用を一括して許可する設定は避け、各エージェントの業務に必要なツールだけを明示的に許可することが重要です。

ツールの説明文についても、単なるヘルプ情報として扱うべきではありません。AIエージェントの判断を変え得る命令が含まれるため、システムプロンプトやソースコードと同様に変更管理の対象とする必要があります。説明文が更新された場合には、自動的に反映するのではなく、変更前後の差分を確認し、業務と無関係なデータ取得や外部送信を指示する文章が含まれていないかを審査する運用が求められます。

特に、社外への情報送信、送金、請求処理、ユーザー権限の変更、アカウント作成など、影響の大きい処理をAIだけで完結させることには注意が必要です。こうした操作には、人による承認を挟む仕組みを設けるべきです。エージェントが取得できるデータを制限する最小権限に加え、どの処理まで自動実行できるかを制限する「最小エージェンシー」の考え方も重要になります。

監視面では、AIエージェントごとに固有のIDを割り当て、誰の権限を使い、どのデータへアクセスし、どの外部サービスへ何を送信したのかを記録する必要があります。普段は利用しない接続先への通信、大量のファイル取得、過去データの一括参照、通常とは異なる時間帯の処理などを検知できれば、正規の操作に見せかけた攻撃を発見しやすくなります。MicrosoftはPrompt Shields、Purview DLP、Entra Agent ID、Defender for Cloud、Sentinelなどを対策例として挙げていますが、製品にかかわらず、接続先の限定、変更審査、人による承認、ID管理、操作監視を組み合わせることが基本となります。

参考文献・記事一覧

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)
CyberCrewのペネトレーションテストを
詳しく知る
CyberCrewへのお問い合わせ・
無料見積もりはこちら

弊社サービスをご利用いただいたお客様の声

大規模リニューアルのリリース判断を支えたセキュリティリスクの客観的な整理(ニッポンインシュア株式会社)

ニッポンインシュア株式会社

Cloud Insureの大規模リニューアルに伴い、CyberCrewのセキュリティ診断・ペネトレーションテストを導入したニッポンインシュア株式会社様の事例をご紹介します。

事例の詳細を見る

決め手はコスパと柔軟性、投資対効果の高いセキュリティ検証(ソースネクスト株式会社)

ペネトレーションテスト

ソースネクストの導入事例。圧倒的なコストパフォーマンスと、準備工数を最小限に抑えた柔軟なペネトレーションテストの成果を公開。

事例の詳細を見る

安心感をもたらしたペネトレーションテスト活用(株式会社ハンモック)

ペネトレーションテスト

株式会社ハンモックにおけるペネトレーションテストの導入事例です。ペネトレーションテストを活用し、安心感のあるセキュリティ対策を実現した取り組みをご紹介します。

事例の詳細を見る

社内負荷を最小限に抑え、実効性あるセキュリティ体制を構築(株式会社FUNDINNO)

ペネトレーションテスト 株式会社FUNDINNO

株式会社FUNDINNOにおけるペネトレーションテストの導入事例です。社内負荷を最小限に抑えながら、実効性のあるセキュリティ体制を構築した取り組みについてご紹介します。

事例の詳細を見る


Page Top