1. 迫り来るパラダイムシフト
攻撃作戦とレッドチーム活動は新たなパラダイムシフトを迎えている。かつては主に人間主導であったものが、計画・実行・調整を最小限の監視で遂行できるエージェント型フレームワークを介し、自律的かつイベント駆動型へと急速に進化しつつある( )。 モデルコンテキストプロトコル(MCP)を基盤としたスウォーム指揮統制に関する我々の研究は、この変革を仮説的な未来ではなく、現実の作戦環境として描いている。前回のブログ記事では、MCPをエージェント時代に特化した新たな指揮統制(C2)基盤と位置付け、AIエージェントがオペレーターや相互間で、日常的な企業AI活動に酷似した方法で通信することを可能にする技術として解説した。
従来のコマンド&コントロールには特徴的な痕跡がある:定期的なビーコン送信、規則的または不規則な間隔、予測可能なインフラストラクチャパターン、そして人間ペースのタスク実行だ。攻撃者はスリープタイマーをランダム化したりC2 ドメインをローテーションさせたりできるが、防御側は通常、通信チャネルを維持するためにインプラントが頻繁に「本拠地へコールバック」する必要性という根本要件を悪用する。 MCPモデルはこの前提に異議を唱える。すなわち、MCPはモデルと外部ツール間の短命でオンデマンドな交換を想定して構築されているため、イベント駆動型C2を自然にサポートする:エージェントはタスク取得のために短時間接続し、実行のために切断し、結果や新たなコンテキストが利用可能になった時のみ再接続できる。AI通信プロトコル自体が正当であっても、その通信の背後にあるミッション意図が悪意あるものである可能性がある。
スウォームC2の概念はこの利点をさらに強化する。単一の自律エージェントが直線的なキルチェーンを実行する代わりに、多くのエージェントを並列に調整可能であり、専門化や役割ベースの行動を実現する。例えば、あるエージェントが偵察に専念する一方、別のエージェントはエクスプロイト研究に注力し、これらの発見はMCPを介して共有され、作業成果物が機械速度で再結合される。スウォーム通信は通信量に冗長性と多様性をもたらす可能性もある。 言い換えれば、MCP対応エージェント群は攻撃作戦のステップを自動化するだけでなく、運用モデルそのものを自動化できる。かつて攻撃者が熟練者を必要としたタスクの継続的調整、テレメトリー解析、行動順序決定の多くを、群れが自律的に実行可能となった。これにより「人間がループ内に存在する」要素は、戦略目標を指定し例外ケースに時折介入する役割に縮小される。
今後の変化は、高速化だけでなく自律性、協調性、知識の幅の拡大、そしてステルス性も包含する。
2. 新時代の脅威モデル
本論文で説明されている通り、MCPは正当性があり低ノイズな通信基盤を提供する。群集は並列性、適応性、耐障害性を提供する。これらは高度な推論モデルと組み合わせることで、行動を起こす瞬間まで正当なAI操作に似せた攻撃システムを構築する。
その結果は以下の通りである:
- C2通信は意味的に曖昧になる:従来の検知パイプラインは 異常なネットワークパターン(定期的なコールバック、不審なドメイン、奇妙なユーザーエージェント、既知のC2フレームワーク)を検出する。一方、MCPトラフィックはトランスポート層では完全に正当であり、内部の「AIツール使用」と区別がつかない場合がある。企業が生産性エージェント、セキュリティコパイロット、コードアシスタント向けにMCPを既に採用している場合、敵対的なMCPタスクは背景に溶け込む可能性がある。
- キルチェーンの圧縮と重複:エージェント 群集により、標的・手法・環境を横断した並列運用が可能となる。偵察とエクスプロイト開発はもはや順次処理を必要としない。あるエージェントがエクスプロイトを調査している間、別のエージェントは横方向移動経路をテストし、さらに別のエージェントは認証情報を収集している。
- 自律性は脅威アクターモデルを拡大する:AIが戦術的ステップの大半を処理できるため、攻撃者の参入障壁が低下する(つまり、従来はAPT脅威アクターのスキルレベルとされたものが、技術的スキルを持たないスクリプトキディでも実行可能となる)。さらに、オペレーターの負担が軽減されることで、より多くの攻撃キャンペーンと標的の拡大が可能となる。
これら3つの重要な要素は、ほとんどのサイバーセキュリティ運用で使用されてきた従来の脅威モデルを修正するものである。
3. AnthropicのAI主導型攻撃:現実世界での実証
本論文で仮説化された脅威プロファイルは、エージェント型AIを主要な操作者として利用した国家関連スパイ活動に対するAnthropicの調査によって、ほぼ即座に実証された。Anthropicは高い確信をもって報告する:中国国家が支援するグループ(公開報告ではGTG-1002と表記)がClaude Codeを中核に自律フレームワークを構築し、これを補助ツールではなく作戦の中核実行者として運用していた。 アンソロピックの事例において防御側にとって特に重要な点は二つある:
- 運用パターン:Anthropicによれば、AIシステムはキルチェーンのほとんどの段階を遂行した。具体的には、偵察、脆弱性発見、エクスプロイト研究とコーディング、認証情報収集、権限昇格、バックドアまたは足場の設置、情報漏洩の試みである。人間の介入はごく一部の意思決定に限られた。報告によれば、戦術的作戦の約80~90%がAIによって処理され、その要求処理速度は人間のオペレーターが持続するには事実上不可能な水準であった。
- 操作戦略:この作戦は当初、意図的なタスク分解によってクロード・コードを脱獄させることで成功した。悪意ある目的は一見無害なサブタスクに分割され、防御的研究や定例セキュリティテストとして偽装された。これはより広範で懸念されるエージェント的失敗モードと符合する:AIシステムが局所的に合理的なタスクで有用となるよう最適化されている場合、敵対者はタスクグラフ全体に意図を隠蔽できる。
Anthropicはまた、これらのAIモデルとフレームワークによってサイバーセキュリティの状況が変化したことを認識している。しかし論理的な結論は、モデル公開を停止することではなく、このような攻撃に備えて防御作戦にこれらのモデルを活用できるよう、サイバーセキュリティ専門家を支援することである。
4. 次に何が起こるのか?
このような攻撃がさらに増えることを予想すべきか?はい。歴史的に見て、国家主体によって手法が実証されると、それが拡散する可能性がある(例:EternalBlueからWannaCryへ)。
さらに、すべての攻撃者が独自の群れを構築する必要はありません。多くの悪意のあるアクターは、市販のエージェントフレームワークを既存のプレイブックに単純に組み込むだけです: フィッシング キット、エクスプロイトチェーン、ランサムウェアのステージング。問題はAIモデルそのものではなく、MCPサーバー、プラグイン、エージェントツールチェーンからなる拡大するエコシステムにある。正当な目的でMCPを通じて内部ツールを公開する企業が増えるほど、同じインターフェースが攻撃対象として魅力的になる。
MCPセキュリティ文献は既に、検証されていないコンテキストプロバイダー、ツールチェーンの悪用、プロトコルレベルの盲点について警告を発している。MCPをコマンド&コントロールチャネルとしてのみ懸念すべきではないが、サプライチェーンとしてのMCPは高価値な標的となるだろう。
また、MCPトラフィックは通常の日常的な企業AIトラフィックと類似しているため、検知アラートが通常のAI使用と衝突するケースが増加する可能性があります。ここで防御態勢を進化させ、新たなパラダイムシフトに対応する必要があります:
- 意図の検知:主体的な攻撃を検知するには、モデルやツールのテレメトリを、アイデンティティ、エンドポイントの挙動、ネットワーク信号と関連付ける必要がある。検知システムは挙動を理解し、以下の問いに答えられなければならない:なぜこの主体が今このツールを実行しているのか、そしてそれはアイデンティティと業務上の文脈と整合しているのか?
- MCPインフラのセキュリティ確保:MCPサーバーは企業の特権的な統合ポイントとして扱い、それに応じたセキュリティ対策を実施すべきである(例:厳格な認証の適用、ツール実行のサンドボックス化、エージェント呼び出しからのログ分離)
- マシン速度の攻撃を想定:インシデント対応プレイブックは大幅に短縮されたタイムラインを考慮する必要がある。これは、より迅速な封じ込めオプションと、急速なラテラルムーブ技術を阻止する回復力のある対策を可能にすることを意味する。
したがって、メッセージは明確である:MCP対応の自律型スウォームは次世代の攻撃的セキュリティを体現し、よりステルス性の高いC2フレームワーク、高速なエクスプロイト、適応性と分散型実行を実現する。今や防御側は、自律エージェントが脅威環境の一部であると想定する必要がある。企業AIトラフィックとエージェント型C2トラフィックの境界線が曖昧になりつつあるからだ。
この種の攻撃に関する詳細な情報は、Arxivで最近公開された技術的なプレプリントで確認できます。