前回の投稿「最先端:攻撃型セキュリティにおけるAIの必然的な台頭」では、AIがレッド・チームのオペレーションをどのように自動化し、補強し始めているかを探った。手作業で動くツールから、戦略を練り適応する自律的なエージェントへと移行しつつあるのだ。しかし、「MCP as a Malicious Control Protocol - Red Teaming with AI Agents(悪意のある制御プロトコルとしてのMCP-AIエージェントによるレッドチーム)」という研究論文で強調されているように、現在の生成的レッドチーム手法の多くは、幻覚、コンテキストの制限、特殊化されたモデルとより一般的でモジュール化されたフレームワークとのトレードオフといった課題に直面している。
今日は、その論文で提案された、指揮統制(C2)のパラダイム・シフトとなるソリューション、モデル・コンテキスト・プロトコル(MCP)について深く掘り下げてみたい。これは単なる漸進的な改善ではなく、指揮統制に関する新しい考え方なのだ。
従来のC2フレームワークは、その有用性はともかく、予測可能でリズミカルなサイクルで動作している。この規則性は、重大なオペレーション・セキュリティ(OPSEC)リスクとなる。最新のNDRソリューションは、このようなパターンを見つけるために特別に調整されている。NDRが一貫したハートビートを検出すると、インプラントとその運用は焼却される。
MCPアーキテクチャは、定期的なビーコニングなしに非同期の並列オペレーションを可能にすることで、このモデルを根本的に変える。常にチェックインする代わりに、エージェントは密かに通信を行い、そのトラフィックを通常の企業AIの活動に紛れ込ませる。これがエージェントの強さの核心であり、正当なネットワーク・チャッターのノイズの中に隠れてしまうため、防御側にとっては孤立させるのが非常に難しくなる。
我々のアーキテクチャ(上図)には3つの主要コンポーネントがある。1つはMCPサーバーとの通信、もう1つはLLMプロバイダー(この場合はAnthropic)との通信です。
- MCPサーバー: 高レベルのタスクが割り当てられ、返される場所。
- MCPエージェント:MCPサーバーに接続してタスクを受け取り、切断して後で報告する。MCPエージェントは、攻撃を実行するLLM APIとも相互に通信します。
- Anthropic API: この場合の実際の攻撃者。優れたシステム・プロンプトと高レベルのタスクを組み合わせることで、良性のLLMに完全なエクスプロイトを実行させ、タスクが完了したら報告させることができる。
ビーコンを越えて
下図はCobalt Strike 攻撃を示しており、ビーコンのパターンを明確に示している。攻撃者が交戦すると、大量のデータ(主にコマンド出力)が送信されることを示す顕著なスパイクが発生する。
逆に、下図は我々のエージェントフレームワークでどのように通信が行われるかを示している。この通信はイベント駆動型であり、タスクはMCPに接続されたエージェントに割り当てられる。エージェントはタスクを受け取り、MCPサーバーとの接続を閉じます。タスクを実行した後、エージェントはサーバーに再接続し、その結果を報告します。以下の表現では、このような2つのケース(2つの攻撃)が描かれています。各攻撃の2つ目のスパイクの大きな青いスパイクは、エージェントがすべての重要な情報を送り返すポイントを示しています。
では、これらの攻撃の1つにズームインしてみましょう。下図はエージェントとMCPサーバーの通信を表しています。エージェントとAnthropic APIの間で実際の往復通信が発生する一方で、エージェントはタスクの最初と最後だけ報告していることがよくわかります。
見てわかるように、この振る舞いを検知 できるかもしれないパターンが形成されつつある。たとえば、時間の経過とともに文脈がより埋まっていくにつれて、青いスパイクが増えるといった具合だ。しかし、今度は下の図を見てみよう:
パターンの変化は明らかで、エージェントはストリーミングレスポンスを利用し、コンテキストウィンドウをより効果的に管理し、それによって以前に識別されたパターンを完全に変更した。この課題をさらに複雑にしているのは、多くのテクノロジー企業がAnthropicへのAPIコールを実行するClaude CodeやCursorのようなツールを採用しているため、良性のコールによるノイズのためにこれらのパターンを区別することがさらに難しくなっていることです。
EDR回避とポリモーフィック・スウォーム
これは、孤独で静的なスパイから、変幻自在な偵察員のダイナミックなチームへのシフトとして概念化することができる。「ポリモーフィック」とは、エージェントが環境に応じてその特性を変化させ、検知を逃れることを意味する。「分散型」とは、多数のエージェントが同時に活動することを意味する。この "群れ "は以下のことが可能である:
- 並列動作: 単一のエージェントが1つのタスクを順次実行するのではなく、スウォームは同時に多様なネットワークセグメントをマッピングし、さまざまな脆弱性をテストし、インテリジェンスを収集することができる。
- リアルタイムでのインテリジェンスの共有: MCPはこの群れの中枢神経系として機能する。1つのエージェントが潜在的な経路、脆弱なクレデンシャル、またはパッチが適用されていないサービスを発見すると、その情報を即座にスウォーム全体に広める。
- 回復力の向上: 万が一、エージェントの1人が検知され、無力化されたとしても、ミッションに妥協はない。残りのスウォームは適応して作戦を続行し、検知から学んで自身のステルス性を強化する。
実際のケーススタディ迅速なドメイン侵害
EDR回避のグラフで見たように、これは単なる理論的なものではありません。私たちは、テスト機だけでなく実際のネットワーク上でも、まさにこのアーキテクチャを使用して私たちの時代を展開しました。EDR回避の結果は、プロンプトエージェントが持っているシステムや割り当てられたタスクによって大きく異なります。例えば
"BYOVDKitと基本的なプロセス操作を使ってEDR回避能力をテストする。まず実行中のEDRソリューションを特定し、次にBYOVDKitを使って脆弱なドライバをロードし、プロセス保護を無効にすることを試みます。基本的なプロセス・インジェクションをテストし、何が検出されたかを記録します。成功したら、単純な横移動テクニックに進む。"
実行の物語:エージェントは自律的にこの目的を多段階計画に変換し、実行した。
1) フェーズ1:EDRの特定(成功)
エージェントはまず、アクティブなセキュリティソリューションを特定するために偵察を行いました。その結果、MsMpEng.exe と MpDefenderCoreService.exe がプライマリ EDR プロセスであることを確認しました。また、ディフェンダーのステータスを照会し、RealTimeProtectionEnabled:True"、そして決定的なのは、"IsTamperProtected "です:True|を含む。
2) フェーズ2:脆弱なドライバーの偵察(ハードニングによってブロックされる)
BYOVD(Bring Your Own Vulnerable Driver)」攻撃を試みる計画の後、エージェントは一般的な脆弱なドライバが存在しないかシステムを検索しました。これは、ホストがこの一般的な攻撃ベクターに対して脆弱でないことを示し、エージェントがカーネルレベルの操作に進むことを阻止しました。
3) フェーズ 3: プロセスインジェクションの試み (AMSI によってブロックされる)
失敗したBYOVDアプローチからピボットして、エージェントはPowerShellを使用してexplorer.exeへの古典的なプロセスインジェクション手法を試みました。この試みはPowerShellの解析エラーで即座に失敗したが、エージェントのAI要約は、MicrosoftのMalware -Malware Scan Interface (AMSI)が悪意のあるスクリプトのメモリ内での実行を妨げたためであると正しく説明している。
テストの実行は、評価の観点からは大成功だった。エージェントは複雑な計画を自律的に実行し、アクティブな防御を正しく識別し、最終的にレイヤー化されたセキュリティコントロールによってブロックされました。最も重要なことは、失敗したインジェクションの試みを含め、操作全体が、私たちが使用したEDRからゼロ検出を生成した ことです。
シェアード・インテリジェンスとデモ(ビデオ)
我々のテストでは、シェアード・インテリジェンスのコンセプトを証明するために2つのエージェントを使用した。結果は?エージェントはネットワーク上のルーターを侵害した(下のビデオ)。
エージェントはネットワーク・ルーターへの侵入に成功し、モノリシックなエージェントから協調的なスウォームへの移行が実用的であることを示した。これは、大規模言語モデル(LLM)のハイレベルなプランニング能力と、ステルスかつ高速なC2フレームワークを組み合わせたものである。
良いことも悪いこともある:
このツールは、迅速なネットワーク・ポスチャーの評価や、LLMを利用した行動のプロアクティブな検出を可能にし、侵入テスト担当者にとって大きなメリットをもたらす。しかし、サイバーセキュリティの知識に乏しい個人が「バイブ・ハッキング」によって重大な損害を引き起こす可能性があるというリスクもあります。