最近、セキュリティ研究者が、新しい「エージェント型」AIブラウザの1つを検証しました。タスク内容は非常に簡単で、製品を検索し、フォームに入力して、支払いを完了するというものです。数時間のうちに、そのブラウザはフィッシング広告をクリックし、偽のサイトにクレジットカード情報を入力し、不正な取引を完了してしまい、人間がまったく気が付かないまま進行しました。
これは、ブラウザがすでにどれほど強力になっているかを改めて認識させる、不安になる瞬間でした。ブラウザは、私たちがどこにアクセスし、何を検索し、何を購入するかを知っています。Cookie、認証情報、トークン、そしてWeb上で私たちを静かに認証する自動入力データを保持しています。あらゆるデジタル行動、すべてのログイン、行動メタデータのすべての痕跡が、その単一のアプリケーションを介して流れています。AIレイヤーがその中で動作し始めると、結果として単にスマートなインターフェイスが生まれるだけでなく、攻撃対象領域が露出することになります。
ヒューマンエラーから、大規模な機械的ミスへ
フィッシングやソーシャルエンジニアリングは、好奇心や注意散漫、信頼を利用して、人間の行動を長年にわたって悪用してきました。誰かが、どこかで、必ずクリックするわけですから、攻撃者は、誤操作と量を当てにしています。
AIブラウザは、そのパターンを覆します。AIエージェントは衝動的ではなく、従順であるため、人間のためにタスクを完了するためなら何でもやろうとするからです。悪意のあるページに隠された指示や巧妙なプロンプトが含まれていると、AIエージェントは躊躇なくそれを取り込んで実行してしまいます。攻撃者がプロンプトインジェクション、細工されたHTML、または不可視テキストなどの有効な攻撃方法を見つけると、もはや個々のユーザーを欺く必要はありません。攻撃者は、自分に代わって行動してくれるシステムを直接狙うことができます。
従来の攻撃手法は今でも通用します。偽のログイン画面、ポップアップ詐欺、悪意のある広告、CAPTCHAのバイパスなどです。違いは規模です。AIブラウザは、接続先のシステムに対して正当な操作と見えながら、無数のセッションで、同じ誤った判断を1秒間に何千回も繰り返すことが可能です。
目の前にある見過ごされた脅威の増幅
Webの歴史の大半において、ブラウザはコンテンツを表示するツールとして扱われてきましたが、コンテンツに関与することはありません。その前提は、完全な真実ではありませんでした。ブラウザは、閲覧履歴、保存されたパスワード、セッションCookie、キャッシュされたドキュメントなど、データの宝庫となってきました。ブラウザは、アイデンティティやデータ、行動が交差する地点にすでに存在しています。
OpenAIのAtlas、PerplexityのComet、MicrosoftのEdge Copilot Modeといった「エージェント型」ブラウザの出現によって、そのリスクが一段と大きくなっています。これらのブラウザは、単にページを表示するだけでなく、内容を解釈、要約し、それに基づいて行動します。ブラウザは、ユーザーのコンテキストと好みを把握しています。情報を取得し、ワークフローを実行して、トランザクションを完了することさえできます。
エンタープライズシステムにとって、こうしたアクションは、有効なトークン、正しいヘッダー、適切な動作を備えた正常なものに見えてしまいます。攻撃者にとっては、その正当性がチャンスとなります。エージェントが侵害されると、ユーザーの信頼、アイデンティティ、リーチを引き継ぐことになります。ブラウザは常に、どのデバイスにおいて最も高い特権があるソフトウェアの1つとなってきました。
リスクはどのように連鎖するのか
潜在的な障害モードは、セキュリティチームがすでに理解しているパターンの拡張であり、高速化しさらに広いアクセス権限を持つようになっています。
- データ漏洩:AIブラウザは、機密性の高いダッシュボードを要約したり、機密データをメモリにキャッシュしたりして、コンプライアンスやDLP制御の範囲外にそれを置くことになります。
- 不正行為とトランザクション:プロンプトインジェクションを受けたエージェントは、人間の確認なしに購入、送金、承認を開始できます。
- 認証情報の窃取:自動入力APIと保存されたセッションは、偽ページに騙されてログインデータを共有してしまう可能性があります。
- 評判の毀損:自動化されたシステムは、ユーザーに代わって投稿やメッセージを送信できるため、公的な信頼と信憑性のリスクが生じます。
これらのリスクは、それぞれ個々に見れば、よく知られたものです。それらが一体となって、完全に正当なものとして境界内で活動する脅威となります。
説明責任、意図、信頼
最も複雑な課題は、検出に関するものではなく、説明責任にあります。現在のセキュリティフレームワークは、あらゆる行動の背後に人がいることを前提にしています。しかし、ブラウザが自律的に動作すると、その結び付きは、もはや確実ではありません。
AIブラウザは、適切なネットワーク上で適切な認証情報を使用しながら、機密データへのアクセス、ワークフローの承認、別のサービスへの情報共有を実行できてしまいます。監視の観点から見ると、すべてが正常に見えますが、この関係式からは、意図という要素が消えてしまっています。
これらの非人間アクターを特定して抑制する明確な方法がないと、組織は可視性と制御の両方を失うことになります。誰が、あるいは何がアクションを実行したのか、そしてそもそも認可されていたのかは、簡単には判断できません。この新しい状況では、アイデンティティこそが、これらのやり取りに説明責任を再び持ち込むための手段になります。
エンティティ(人間であれマシンであれ)がログインし、データにアクセスし、コマンドを実行できる場合、そのエンティティには、アイデンティティ、明確に定義された権限、監査可能な動作履歴が不可欠になります。そして、AIエージェントの場合、説明責任を負う人間の所有者に紐付けられている必要があります。そうでなければ、信頼は推測になり、「通常のアクティビティ」が次のインサイダー脅威になってしまいます。
セキュリティリーダーが問うべきこと
CISOは、新たなAIのユースケースと規制遵守へのプレッシャーの板挟みですでに苦労しています。しかし、次のような簡単な質問で、リスクが最も急速に高まっているエリアを明らかにすることができます。
- ログ内のアクティビティが人間によるものか、エージェントによるものかを判別できますか?
- 当社のアクセスポリシーは、委任されたブラウザ操作を管理するのに十分にきめ細かいですか?
- 当社のDLPや不正検知システムは、エージェントによる自動化をユーザーの行動と区別して検出できますか?
- AIブラウザが侵害され、正当なAPIを通じてデータが流出し始めた場合はどうなりますか?
- 自律的な環境において、意図を証明する監査証跡をどのように確立すればよいですか?
これらの質問への答えから、エンタープライズが次世代のWeb自動化に向けてどれだけ備えられているかが定義されます。
エージェント型Webのセキュリティ保護
ブラウザは常に価値の高い標的となってきました。ブラウザは、私たちが誰で、何をしていて、どこにデータがあるのかを把握しています。AIを導入することで、リスクはかえって高まります。
AIブラウザやAIエージェントが日常業務に組み込まれるにつれて、セキュリティチームは慣れ親しんだ原則を扱ったことのない領域に適応していく必要があります。検証、最小権限、継続的な監視、迅速なセッション失効は依然として基本ですが、今後は、それらを人間のユーザーだけでなく、ソフトウェアのアクターにも適用しなければならない点がその違いとなります。
この環境でデータを保護するということは、ネットワーク上で動作可能なすべてのエンティティにアイデンティティベースの制御を拡張することを意味します。各アクションを検証済みのアイデンティティに紐付け、その動作を継続的に評価することによってのみ、現代のセキュリティが依拠する責任説明を維持できます。
