JFrog(ジェイフロッグ)セキュリティーリサーチチームの最新調査により、自律型ウェブブラウジングエージェントを標的とする、これまでにない極めてステルス性の高い攻撃ベクトルが明らかになった。この革新的な攻撃は、ウェブサイトクローキング技術を悪用し、人間ユーザーには無害なウェブと、AI専用の有害なウェブという二重の現実を作り出す。これにより、攻撃者はエージェントの行動を操作・制御し、データ窃取やマルウェア実行といった攻撃を、ユーザーには全く検知されないまま実行できる。
この攻撃の独自性は、その手法にある。これまでのAIエージェントに対するポイズニング攻撃では、エンドユーザーに表示されるページ内に悪意のあるテキストを隠蔽・埋め込み、洗練されたスタイルを用いて人間の目には見えないようにするのが一般的だった。しかし、この新しい攻撃では、全く異なるバージョンのコンテンツが提供されるため、エンドユーザーに送信するコンテンツに適用されるスキャンでは検出できない。また、AIエージェントは、変更されたバージョンしか利用できないため、異なるバージョンのコンテンツを受信したことに気付くこともできない。
この攻撃は、ブラウザーフィンガープリンティングとウェブサイトクローキングという、2つの確立されたウェブ技術を利用している。ブラウザーフィンガープリンティングは、ウェブサイトがブラウザーからさまざまなデータポイントを収集し、固有の「フィンガープリント」を作成することで、ユーザーを識別・追跡することを可能にする。ウェブサイトクローキングは、ウェブサイトがフィンガープリントに基づいて訪問者ごとに異なるコンテンツを意図的に提供する欺瞞行為だ。この攻撃はこれら2つの手法を組み合わせたものだが、標的はAIエージェントだ。
AIエージェントは、その均一性と予測可能性の高さから、この攻撃の理想的な標的となる。AIエージェントは、自動化フレームワークのシグネチャー、人間以外の行動パターン、ネットワーク特性など、容易に識別できる明確な痕跡を残す。この均一性により、AIエージェントはウェブトラフィックの中でも区別しやすいクラスとなり、攻撃対象として最適だ。この攻撃は、シンプルでありながら非常に効果的なシーケンスで展開され、ユーザーには見えないAIエージェントのための隠れたパスを作成する。
この攻撃は、そのステルス性、スケーラビリティー、そしてプロアクティブ性により、重大な脅威となる。攻撃者は悪意のあるサイトを1つ構築し、AIエージェントの到着を受動的に待つことができる。悪意のあるペイロードはフィンガープリントが作成された標的にのみ動的に配信されるため、従来のセキュリティーツールを回避する。これにより、ユーザーが信頼するAIエージェントが、ユーザー自身を攻撃するための武器と化す。これは、悪名高い「Living Off-The Land(環境寄生型)」攻撃の新たな形態であり、エージェント自体が悪意ある行為の道具となるものだ。
自律型AIの力を活用していく上で、プライバシーとセキュリティーに関する潜在的な弱点を認識し、それに応じた防御策を講じることが重要だ。これらのエージェントを非常に有用なものにしている機能、つまり周囲の世界と容易にインタラクトできる能力こそが、最大の脆弱性でもある。エージェント型AIの未来を守るためには、全てが見た目通りではないウェブ環境に対応する、新世代の防御策を構築する必要がある。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
