Agentjacking 完全解説:Sentry MCP 経由の 85% ハイジャック攻撃が、AI コーディングエージェントを「信頼された攻撃面」に変える日

PM による override 適用: 本稿は PM が 6/19 夕方に P0-AM として位置付けた Agentjacking を取り上げる。Cost Reckoning Part 9 (Bochinski ホームコーディング戦略) は週末枠 (6/20 PM〜6/21) に繰越。これは 5/22 GitHub 3800 攻撃 (5 攻撃ベクトル分析) の起点から続く、MCP 経由攻撃ベクトル 6 本目の連鎖記事である。 2026 年 6 月 12 日、Tenet Security の Threat Labs が公開した「Agentjacking」研究は、AI コーディングエージェント時代のセキュリティ議論を「プロンプトインジェクションの亜種」から「アーキテクチャそのものの欠陥」へ引き上げた。本稿では、その攻撃構造、影響範囲、Sentry が公式に「技術的に防御不能」と認めた背景、そして日本企業を含む開発組織が今すぐ取り得る 5 ステップ防御策を、Python 検証コード付きで構造的に整理する。 1. Agentjacking とは何か — 6 段階で実行される「データと命令の混同」攻撃 Agentjacking は、Tenet Security が命名した新しい攻撃クラスで、Sentry の DSN (Data Source Name) と MCP サーバー経由の AI コーディングエージェント の交差点を突く。Tenet の Ron Bobrov、Barak Sternberg、Nevo Poran によれば、 ...

June 20, 2026 · 25 min · 4812 words · Appwright

GitHub 3800リポジトリ侵害:5つの攻撃ベクトルで理解する2026年サプライチェーン攻撃の実態と防御策

2026年5月20日、GitHubは従業員のデバイスが悪意あるVS Code拡張機能によって侵害され、約3,800の内部リポジトリが流出したことを公表した。攻撃者TeamPCPは盗んだソースコードを$50,000で販売中で、買い手がなければ無料公開すると脅迫している。 しかし、この事件は単なる「VS Code拡張機能による侵害」ではない。同時期に発生した4つの関連攻撃を合わせると、5つの攻撃ベクトルが連鎖する未曾有のサプライチェーン攻撃の全体像が見えてくる。本記事では、各ベクトルの技術的詳細と、開発者が今すぐ実践すべき防御策を解説する。 事件の全体像:5つの攻撃ベクトル 2026年5月18日から20日にかけて、TeamPCP(Google Threat IntelligenceがUNC6780として追跡)は、以下の5つの攻撃ベクトルを連続して展開した。 ベクトル1:Nx Console VS Code拡張機能侵害(5月18日) 悪意あるバージョンのNx Console(nrwl.angular-console v18.95.0、2.2Mインストール)がVS Code Marketplaceに公開された。わずか11分間で削除されたが、その間に拡張機能をインストールした開発者のGitHubトークン、npmトークン、AWS認証情報、HashiCorp Vault認証情報、Kubernetes認証情報、1Passwordの認証情報が窃取された。 特筆すべきは、この拡張機能がClaude Codeの設定ファイル(~/.claude/settings.json) を標的にしていた点だ。AIエージェントのAPIキーが平文で保存されている設定ファイルが、新たな攻撃対象となっている。 // 悪意ある拡張機能の概念(実際のペイロードは難読化) const vscode = require('vscode'); const fs = require('fs'); const { execSync } = require('child_process'); function activate(context) { // AIエージェント設定ファイルの収集 const targets = [ '~/.claude/settings.json', '~/.cursor/config.json', '~/.config/openclaw/credentials.json', ]; targets.forEach(p => { if (fs.existsSync(p)) { const data = fs.readFileSync(p, 'utf8'); exfiltrate(data); } }); // 環境変数から全トークンを抽出 const tokens = { ...process.env }; exfiltrate(JSON.stringify(tokens)); } ベクトル2:Mini Shai-Huludワームによるnpmサプライチェーン攻撃(5月19日) TeamPCPはMini Shai-Huludワームの新たな波をnpmエコシステムに解き放った。639の悪意あるnpmパッケージバージョンが323パッケージにわたって公開された。標的となったのはAlibabaの@antvエコシステム(週間約1,600万ダウンロード)で、jest-canvas-mock(1,000万+月間DL)、size-sensorなどの休眠パッケージが乗っ取られた。 この波の最大の特徴は、Sigstoreのビルド証明書(provenance)を実行時に偽造する新手法だ。ワームがFulcioとRekorを実行時に呼び出し、悪意あるパッケージに対して正当なSigstore署名証明書を生成する。証明書バッジはグリーン表示されるが、ビルドチェーン自体は攻撃者に支配されている。Endor LabsのPeyton Kennedyは「証明書はパッケージがどこでビルドされたかを示す。ビルドが承認されたかどうかは示さない」と指摘する。 2種類の配送メカニズム Type 1 — ファントムコミットドロッパー: jest-canvas-mockやsize-sensorなどの休眠パッケージに、optionalDependenciesエントリを1行追加するだけの手法。npmがgithub:依存関係を解決する際、prepareライフサイクルフックが発火し、Bunランタイムで難読化されたペイロードを実行する。 ...

May 22, 2026 · 25 min · 4835 words · Appwright