1. 迫り来るパラダイムシフト
攻撃作戦とレッドチームは新たなパラダイムシフトを迎えています。かつては主に人間主導だったものが、最小限の監視で計画、行動、調整を行うことができるエージェントフレームワークを介して、ますます自律的かつイベントドリブンになりつつあります。モデルコンテキストプロトコルを活用した群集コマンド&コントロールに関する当社の研究では、この変化を仮説的な未来ではなく、新たな運用上の現実として捉えています。前回のブログ投稿では、モデルコンテキストプロトコル(MCP)はエージェント時代に合わせた新しいコマンド&コントロール(C2)基盤として扱われ、AIエージェントがオペレーターや他のエージェントと、より日常的なエンタープライズAI活動に近い方法で通信することを可能にします。
従来のコマンド&コントロールには特徴的な痕跡がある:定期的なビーコン送信、規則的または不規則な間隔、予測可能なインフラストラクチャパターン、そして人間ペースのタスク実行だ。攻撃者はスリープタイマーをランダム化したりC2 ドメインをローテーションさせたりできるが、防御側は通常、通信チャネルを維持するためにインプラントが頻繁に「本拠地へコールバック」する必要性という根本要件を悪用する。 MCPモデルはこの前提に異議を唱える。すなわち、MCPはモデルと外部ツール間の短命でオンデマンドな交換を想定して構築されているため、イベント駆動型C2を自然にサポートする:エージェントはタスク取得のために短時間接続し、実行のために切断し、結果や新たなコンテキストが利用可能になった時のみ再接続できる。AI通信プロトコル自体が正当であっても、その通信の背後にあるミッション意図が悪意あるものである可能性がある。
Swarm C2 のアイデアは、この利点をさらに強化します。1 つの自律エージェントが直線的なキル チェーンを実行する代わりに、多くのエージェントを、特化またはロールベースの動作によって並行してオーケストレーションできます。たとえば、1 つのエージェントが偵察に集中し、別のエージェントがエクスプロイトの調査に集中するとします。これらの発見は MCP を介して共有され、作業成果物がマシン速度で再結合されます。Swarm 通信によって、トラフィックに冗長性とバリエーションがもたらされる場合もあります。言い換えれば、MCP 対応のエージェント スウォームは、攻撃操作の手順を自動化するだけでなく、オペレーティング モデル自体を自動化できるのです。かつて攻撃者は、タスクの継続的な調整、テレメトリの解釈、アクションの順序付けに熟練した人材を必要としていましたが、現在ではスウォームがそのほとんどを自律的に実行し、人間関与コンポーネントは、戦略目標を指定し、エッジ ケースに時折介入する人物に任せています。
今後の変化は、高速化だけでなく自律性、協調性、知識の幅の拡大、そしてステルス性も包含するものになります。
2. 新時代の脅威モデル
こちらの論文で説明されているように、MCPは正当かつ低ノイズな通信ファブリックを提供します。群は並列性、適応性、そしてフォールトトレランスを提供します。優れた推論モデルと組み合わせることで、行動する瞬間までは正当なAIオペレーションに類似した攻撃システムを構築します。
その結果は以下の通りです。
- C2トラフィックの意味が曖昧になる: 従来の検知パイプラインは、定期的なコールバック、不審なドメイン、不審なユーザーエージェント、既知のC2フレームワークといった異常なネットワークパターンを探します。一方、MCPトラフィックはトランスポートレベルでは完全に正当なものであり、社内の「AIツールの使用」と区別がつかない場合があります。企業が既に生産性向上エージェント、セキュリティコパイロット、コードアシスタントなどにMCPを導入している場合、敵対的なMCPタスクは背景に溶け込む可能性があります。
- キルチェーンの圧縮と重複:エージェントの群れにより、複数のターゲット、手法、環境をまたいでオペレーションを並行して実行できます。偵察とエクスプロイトの開発は、もはや順番に行う必要はありません。あるエージェントがエクスプロイトを調査している間に、別のエージェントが既にラテラルムーブメントのパスをテストし、さらに別のエージェントが認証情報を収集することも可能です。
- 自律性が脅威アクターのモデルを拡大: AIはほとんどの戦術的ステップを処理できるため、攻撃者にとって参入障壁が低くなります(つまり、APT脅威アクターレベルのスキルと考えられていたものが、今では技術的なスキルを持たないスクリプトキディでも実行可能になります)。さらに、オペレーターの負担が軽減されるため、より多くのキャンペーンとより高度な攻撃が可能になります。
これら 3 つの主要項目は、ほとんどのサイバーセキュリティ運用で使用されてきた従来の脅威モデルを変更します。
3. AnthropicのAI主導型攻撃:現実世界での実証
論文で想定された脅威プロファイルは、エージェントAIを主要なオペレーターとして用いた国家関連のスパイ活動に関するAnthropicによる調査によって、ほぼ即座に検証されました。Anthropicは、中国政府が支援するグループ(公開報告書ではGTG-1002と表記)がClaude Codeを基盤とした自律型フレームワークを構築し、Claude Codeを補助的な存在としてではなく、活動の中心的な実行者として用いたと高い確信を持って報告しています。Anthropicの事例には、防御側にとって特に重要な2つの側面があります。
- 運用パターン: Anthropicによると、AIシステムはキルチェーンのフェーズの大部分、すなわち偵察、脆弱性の発見、エクスプロイトの調査とコーディング、認証情報の収集、権限昇格、バックドアや足場の追加、そして情報漏洩の試みを実行しました。人間が介入したのはごく一部の判断に過ぎませんでした。報告書によると、戦術的オペレーションの約80~90%はAIによって処理され、そのリクエストレートは人間のオペレーターでは事実上維持不可能なレベルでした。
- 操作戦略: このキャンペーンは、意図的なタスク分解によってClaude Codeを脱獄させることで当初成功を収めました。悪意のある目標は、防御研究や日常的なセキュリティテストという枠組みで、一見無害なサブタスクに分割されました。これは、より広範かつ懸念すべきエージェントの障害モードと一致しています。AIシステムが局所的に妥当なタスクに役立つように最適化されている場合、攻撃者はタスクグラフ全体にわたって意図を隠すことができます。
Anthropic社も、これらのAIモデルとフレームワークによってサイバーセキュリティの状況が変化したことを認識しています。しかし、論理的な結論は、モデルの公開を停止することではなく、サイバーセキュリティ専門家がこれらのモデルを今回のような攻撃に備えた防御活動に活用できるようにすることです。
4. 次に何が起こるのか?
このような種類の攻撃は今後さらに増えると予想されますか? はい。 歴史的に、技術は国家主体によって実証されると、拡散する可能性があります (例: EternalBlue から WannaCry)。
さらに、すべての攻撃者が独自のSwarmを構築する必要はありません。多くの悪意のある攻撃者は、フィッシングキット、エクスプロイトチェーン、ランサムウェアのステージングといった既存のプレイブックに、市販のエージェントフレームワークを単純に組み込むだけです。問題はAIモデルそのものではなく、MCPサーバー、プラグイン、エージェントツールチェーンといったエコシステムの拡大にあります。企業が正当な目的でMCPを通じて社内ツールを公開するようになるにつれ、同じインターフェースが魅力的な攻撃対象領域となります。
MCPのセキュリティに関する文献では、未検証のコンテキストプロバイダー、ツールチェーンの悪用、プロトコルレベルの盲点について既に警告が出されています。コマンド&コントロールチャネルとしてのMCPだけが懸念材料ではありませんが、サプライチェーンとしてのMCPは、今後、非常に価値の高い標的となるでしょう。
また、MCPトラフィックは通常の企業AIトラフィックと類似しているため、検出アラートが通常のAI利用と衝突する可能性が高まっています。そのため、新たなパラダイムシフトに対応するために、防御体制を進化させる必要があります。
- 意図の検出: エージェント攻撃を検知するには、モデルまたはツールのテレメトリをアイデンティティ、エンドポイントの挙動、ネットワークシグナルと関連付ける必要があります。検知は、振る舞いを理解し、「なぜこのエージェントが現在このツールを実行しているのか?」という問いに答える必要があります。そして、それはアイデンティティとビジネスコンテキストに合致しているでしょうか?
- MCP インフラストラクチャのセキュリティ保護: MCP サーバーは、企業の特権統合ポイントとして扱い、それに応じてセキュリティ保護する必要があります (例: 厳格な認証の適用、サンドボックス ツールの実行、エージェント呼び出しからのログ記録の分離)
- マシンスピードの攻撃を想定: インシデント対応のプレイブックでは、大幅に短縮されたタイムラインを考慮する必要があります。これは、迅速な封じ込めオプションと、急速な横展開手法を阻止する回復力の高い対策を講じることを意味します。
したがって、メッセージは明確です。MCP対応のエージェント型スウォームは、よりステルス性の高いC2フレームワーク、より高速なエクスプロイト、そして適応型分散実行を備えた次世代の攻撃的セキュリティを体現しています。企業のAIトラフィックとエージェント型C2トラフィックの境界が曖昧になりつつある今、防御側は自律型エージェントが脅威ランドスケープの一部であることを想定する必要があります。
こうした種類の攻撃の詳細については、最近公開された Arxiv の技術プレプリント に記載されています。