検証の前提:エージェントは「人より騙されやすい」かもしれない #
近年、ローカル PC を Claude や GPT に直接操作させる「コンピュータ使用エージェント」が業務効率化の文脈で広がりつつある。米セキュリティ企業 Varonis は、AI エージェントの安全性を検査するオープンツール OpenClaw を使い、現実のフィッシング動線にエージェントを乗せたらどう振る舞うかを 6 月 9 日に公表した。
結論はシンプルかつ不穏だ。人間が一瞬「怪しい」と思うようなページでも、エージェントは指示通りクリックし、フォームに認証情報を入力し、許可ダイアログに同意した。エージェントは焦らず疑わずためらわず、しかし URL のドメイン違いや文面の不自然さといった「人間なら気付くシグナル」を平気で無視する場面が観測された。
攻撃が刺さる順序 #
従来のフィッシングは「人間を騙して 1 クリックさせる」攻撃だった。AI エージェントが介在すると、被害が次の経路で自動完結する。
既存の防御線では止まらない理由 #
通常のメールフィルタやブラウザ警告は「URL を評価し、人間に確認させる」前提で組まれている。エージェントは警告ダイアログも自分で閉じてしまう上、企業内では SSO セッションを保持したまま動くため、気付いたときには既に内部システムに認証済みということが起こり得る。
ハッカー視点で面白いのは、攻撃ペイロードがもはや JavaScript ではなく「ページに紛れ込ませる自然言語」になっている点だ。display:none の <div> に書いた一文や、aria-label 属性に潜ませた命令だけで LLM の挙動を奪える。これは SQL インジェクション以来の新しいクラスの攻撃面として確立しつつあると言ってよい。
防御側に求められるのは現実的だ。エージェントが触れる URL を許可リスト化すること、そして認証や決済など破壊力の大きい操作には人間の確認を必須化すること。「便利だから全部任せる」という運用は、当面は危険すぎる選択になる。
COMMENTS 0
No comments yet — be the first to leave one.