本記事は、AIセキュリティとしてのアイデンティティセキュリティをテーマとした7部構成のシリーズの第5回目のブログです。
要約:
2025年9月中旬、中国の国家が関与する攻撃主体がClaude Codeを兵器化し、記録上初となる大規模な自律型サイバー攻撃を実行しました。この攻撃は、大手テクノロジー企業、金融機関、化学製造企業、政府機関を標的としました。また、8月下旬には、認証情報の侵害により、JLRの工場が5週間にわたって閉鎖され、19億ポンドの損害が発生しました。この攻撃パターンが、AIエージェントによって実行されたとしたらどうでしょうか。AIエージェントは、休むことなく稼働し、今この文を読んでいる間だけでも何千通りもの認証情報の組み合わせを試すことができます。これは、すでに現実のものとなっています。こうした攻撃は、境界を侵害するだけではありません。正当なアクセスを悪用するのです。
これに対する防御策は、より強固なファイアウォールではありません。答えは認可です。各ステップでエージェントが何を実行できるかを制御し、必要な場面では人間による監督を組み込むのです。サイバーフィジカルシステムにおいて、IAMは単なるITインフラではありません。安全システムそのものとなります。
もはや理論上の問題ではなくなったリスク
OpenID Foundationは、これをアイデンティティにとっての「究極の課題」と呼んでいます。つまり、物理世界で直接的かつ不可逆的な影響を及ぼしかねないアクションを実行するエージェントをどのように統制するか、という課題です。IAMにおけるアクセス管理の側面を担う認可は、システムの安全性を構成する根本的な要素となります。
2025年後半に発生した3つのインシデントは、このリスクがすでに現実であることを証明しました。
まず、AIエージェントが重要なインフラを自律的に攻撃できることが証明されました。9月には、Anthropicが、中国の国家支援を受けたグループがClaude Codeを兵器化し、セキュリティ研究者が「主にAIによって実行された初の大規模サイバー攻撃」と呼ぶ攻撃を実施していたことを明らかにしました。このエージェントは、脆弱性のスキャン、エクスプロイトの作成、認証情報の収集、ネットワーク内でのラテラルムーブメントなど、攻撃の大部分を担っていました。標的には化学製造会社も含まれており、その一部は実際に侵害されています。こうした施設では、侵害された認証情報によってプロセス制御が操作されれば、壊滅的な事態を招きかねません。
次に研究者らは、攻撃対象領域が、物理システムにアクセスできるあらゆるエージェントにまで広がることを証明しました。2025年8月には、改変されたGoogleカレンダーの招待状がGeminiを乗っ取り、照明、シャッター、ボイラーなどのスマートホームデバイスを制御できることが実証されています。研究者らが「プロンプトウェア」と呼ぶこの攻撃は、認可における根本的なギャップ、つまりカレンダーの読み取り権限により、アクチュエータ制御権限が付与されてしまうという問題を悪用したものです。仕組みはまったく同じです。異なるのは、その影響の規模のみです。
そして、認証情報の侵害がごくわずかな時間で工場を停止させ得ることも、証明されました。Jaguar Land Rover(JLR)は、英国史上、最大の経済的被害をもたらしたとされるサイバー攻撃を受けました。攻撃者はJLRのサプライヤーを通じて侵入し、最終的に生産システムにまで到達しました。ロボットは停止し、従業員は5週間にわたって自宅待機を余儀なくされました。JLRのサプライチェーンにおける5,000以上の企業が影響を受けました。このラテラルムーブメントが、AIエージェントによって実行されたとしたらどうでしょうか。AIエージェントは、休むことなく稼働し、タイプミスもせず、今この文を読んでいる間だけでも何千通りもの認証情報の組み合わせを試すことができます。これが脅威モデルです。
認証情報を巡る危機によって加速する事態
IBMのX-Force 2025によると、現在、正規アカウントの悪用が最も一般的な侵入経路となっており、全インシデントの30%を占めています。これは、攻撃手法の変化を裏付けています。2025年上半期には、インフォスティーラーマルウェアによる認証情報の窃取が800%も増加しました。非人間のアイデンティティ(APIキー、サービスアカウント、OAuthトークン)の侵害は、今や主要な初期攻撃ベクトルとなっています。
この影響は、すでにAIシステムにも及んでいます。OpenAIプラグインエコシステムを標的としたサプライチェーン攻撃では、47のエンタープライズ環境からエージェントの認証情報が収集され、攻撃者は、誰にも気付かれないまま6か月もの間アクセスを維持していました。製造業を狙った攻撃は前年比で61%増加しています。認証情報の窃取、ラテラルムーブメント、現実世界での損害――この流れは、どの事例でも共通しています。
境界防御の限界
従来のセキュリティは、攻撃者を侵入させないことに重点を置いてきました。ファイアウォールやネットワークセグメンテーション、エンドポイント保護といった対策はいずれも不可欠です。しかし、AIエージェントは侵入してくるのではなく、すでに内部に存在し、正当な認証情報を用いて動作しています。
プロンプトウェア攻撃は、ファイアウォールを突破したわけではありません。認可されたエージェントを乗っ取ったのです。Claude Codeを用いた攻撃も、ネットワークの脆弱性を突いたものではありません。正規の認証情報を収集し、悪用しました。こうした攻撃が成功したのは、エージェントがそこにいる権限を持っていたからです。ただし、実行した操作についての権限は与えられていませんでした。
問題は、エージェントがどこに行けるかではありません。そこに到達した後、何を実行する権限を与えられているかです。
水処理プラントを例に考えてみましょう。AIエージェントが塩素濃度の監視、圧力の調整を行いながら、需要の変動に対応します。その認可の範囲はどう定義されるべきでしょうか?貯水量をX~Yの範囲に維持すること、圧力がZを超えないようにすること、範囲を超えた場合には人間にエスカレーションすること、といった明示的な定義が必要です。しかし、デプロイの際、エージェントに「水システムを管理する」といった広範な権限が付与されていた場合、侵害されたエージェントが塩素濃度を有害なレベルまで引き上げたり、圧力障害を引き起こしたりする可能性があります。ここで問い直したいのは、現在の認可アーキテクチャが、こうした制約を扱える設計になっているかどうかです。
安全インフラとしての認可
サイバーフィジカルシステムにおいて、IAMは従来の役割を超え、安全とポリシー適用を担うレイヤーとなります。
アイデンティティは、誰が行動主体であるかを把握するためのものです。認可により、こうした行動主体が何の実行を許可されているか、アクションごとに把握し、必要に応じて人間による監視を組み込むことができます。物理システムを制御するエージェントにとって、これが爆発を防ぐためのアーキテクチャとなります。
航空業界は、パイロットが高度制限を記憶しているかどうかに安全を委ねていません。原子力施設も、危険な構成の回避を運用担当者に任せきっているわけではありません。こうした業界は、人間の注意力が安全システムにはならないことを、何十年も前から学んできました。安全を確保するには、制約を設計に組み込む必要があります。NISTのZero Trust Architecture(SP 800-207)は、この考え方を明文化しています。決して信頼せず、常に検証し、あらゆる判断ポイントで最小権限を適用する、という原則です。
物理システムを制御するAIエージェントにとって、認可こそが、設計に組み込まれた制約となります。適切に組み込まれた場合、認証情報はジャストインタイムで発行され、直近の操作に限定して適用範囲が設定され、コンテキストが変化した瞬間に失効します。存在しないトークンは、盗まれることもありません。エージェントが侵害されたとしても、認可の範囲を超えた操作は実行できません。リスクの高い操作には、人間による承認が必要になります。さらに、すべての操作は、特定のユーザー、エージェント、実行時点まで追跡できます。
これを技術的に見ると、次のようになります。RFC 8693(OAuth 2.0 Token Exchange)によって、コンテキストを保持した委任トークンのやり取りが可能になります。
{
"sub": "technician-jane@manufacturing.example",
"act": {
"sub": "maintenance-agent-7"
},
"aud": "manufacturing-api.example.com",
"scope": "actuator:write",
"exp": 1737043200
}
subは人間を指定します。actクレームはエージェントを指定します。scopeは、何が許可されているかを厳密に定義します。「システムを管理する」ではなく、特定の1つのリソースに対する「actuator:write」です。expは有効期限を設定します。サイバーフィジカルシステムの運用では、数か月ではなく、5〜60分が適切です。メンテナンス期間が終了すると、トークンは失効します。
EU AI法では、水道、ガス、電力などの重要インフラにおける安全コンポーネントとして使用されるAIシステムを、附属書IIIに従って高リスクとして分類し、第14条に基づき人間による監督を義務付けています。毎分何千件もの意思決定を行うシステムの場合、人間がそれを一件一件確認することはできません。必要なのは、境界をプログラムで適用し、真に例外的な状況に限ってエスカレーションする認可システムです。
縮まり続ける猶予期間
Gartnerは、AIエージェントの普及により、アカウントの露出が悪用されるまでの時間が2027年までに50%短縮されると予測しています。これまで数週間を要していた攻撃が数日で完了するようになります。Claude Codeを用いた攻撃で、機械速度で実行される攻撃がどのようなものかをがすでに示されました。
今、適切な認可アーキテクチャを構築している組織こそが、規制が強化された際のモデルとなるでしょう。
Oktaによる解決策
上記の攻撃はいずれも、ファイアウォールを突破したものではありません。プロンプトウェア攻撃は、権限の範囲が機能単位で適切に制限されていない認可済みエージェントが乗っ取られました。OpenAIのプラグインを標的とした攻撃では、有効期間が長く、過剰な権限を許容していた認証情報が悪用されました。Claude Codeを利用した攻撃では、正規のシークレットが収集され、再利用されています。こうした失敗はすべて、現在Oktaが提供しているコントロールによって対応可能です。
- Cross-App Access(XAAにより、エージェントのアクションをユーザーとエージェントの双方に紐付けて追跡できます。委任トークンはチェーン全体を通じてコンテキストを保持し、actクレームにより、どのエージェントが何を実行したのかが明確になります。
- Token Vaultは、長期間有効な認証情報を排除します。エージェントは必要に応じてトークンを取得することになり、このトークンには、直近の操作に限定してスコープが設定されています。盗まれたトークンも、攻撃者が利用する前に失効します。
- CIBA Step-Up Authenticationは、重大な影響を伴う操作において、人間をループに組み込む仕組みです。エージェントが割り当てられた認可の範囲を超えようとした場合に(制限を超えた圧力調整、化学物質の濃度変更、インターロックの解除など)、認可を行うユーザーによる明示的な承認が必要となります。
- Fine-Grained Authorization(FGAは、ログイン時だけでなく、意思決定が行われるたびにアクセスを評価します。れにより、「貯水量をX~Yの範囲に維持する」「圧力Zを超えてはならない」といった要件を、機械可読なポリシーとして表現できます。
今後の方向性
210億台のIoTデバイスと数百万台の産業用ロボットがネットワークに接続され、稼働している現状において、AIエージェントがアクセスし、制御できる物理システムの領域は拡大し続けています。
ガバナンス上の問いは単純です。重要性の高いシステムにアクセスできるすべてのエージェントについて、チームはその認可の範囲を明確に説明できるでしょうか。どのような認証情報を保持し、それによって何が許可され、またその権限が運用上の必要性を超えていないか、きちんと把握できているでしょうか。これに「わからない」と答えるようであれば、そのギャップこそが攻撃対象領域となるのです。
しかし、そのギャップは埋めることができます。金融取引を保護してきた認可パターンと同じもので、水処理プラントや化学反応炉、ロボットアームといったシステムを保護できます。アイデンティティは、「誰」を把握するためのものです。認可により、各ステップでエージェントが何を実行できるかを制御し、重要な局面では人間による介入を組み込むことができます。サイバーフィジカルシステムにおいて、これは単なるアクセス管理ではなく、安全インフラです。
そのアーキテクチャは、すでに存在しています。問題は、インシデントや侵害の事例となる前に実装できるかどうかです。
次回:第6回目のブログでは、異なる権限を持つ複数のステークホルダーに1つのエージェントが対応する場合に何が起こるのかを掘り下げます。例えば、CFOのエージェントが共有のSlackチャンネルで質問に回答する際、その応答は誰のアクセス権に基づいて制御されるのでしょうか。
