ニュース
AIエージェントの10大リスクとは? OWASPが最新リストを公開:セキュリティニュースアラート
OWASPはAIエージェント固有の脅威を整理した最新トップ10を公開した。ツール実行や連携を前提とする設計が新たな攻撃面を生み、開発・運用の安全対策の見直しを促している。
OWASP GenAIセキュリティプロジェクトは2025年12月9日(現地時間)、エージェントアプリケーションが直面する主要な脅威を体系化した「OWASP Top 10 for Agentic Applications 2026」を公表した。
自然言語による指示の理解やツールの実行、他のエージェントとの連携といった複合的な能力を備えるエージェント型AIは、従来の大規模言語モデル(LLM)とは異なる攻撃面を持つ。同リストは世界各地の研究者・実務者100人超による検証を経て策定されており、AIエージェント特有の脆弱(ぜいじゃく)性を整理し、実務で扱いやすい形で提示した。
AIエージェント固有の10大リスク 100人超の専門家が選定
このリストは米国国立標準技術研究所(NIST)や欧州委員会、Alan Turing Instituteなどの関係者が参加する専門家審査委員会による評価を経て公開されており、同プロジェクトのこれまで公開してきた資料群の延長線上に位置する。
エージェントアプリケーションの安全確保において優先的に考慮すべき10の項目は次の通りだ。
- ASI01 Agent Goal Hijack: 攻撃者が指示文やツール出力、外部データを悪用し、エージェントの目標やタスク選択を意図的に書き換える。単なるLLM出力改ざんではなく、マルチステップの行動方針そのものが乗っ取られる点が特徴
- ASI02 Tool Misuse&Exploitation: エージェントが権限内の正当なツールを誤った判断・曖昧(あいまい)な指示やプロンプト注入などで不適切に使用してしまうリスク。データ削除・情報漏えい・コスト浪費などの結果を招く
- ASI03 Identity&Privilege Abuse: エージェントが継承した認証情報や役割などを攻撃者が乗っ取り、権限昇格や不正アクセスにつなげる。ユーザー主体のIDシステムとエージェントの動作モデルのギャップが原因
- ASI04 Agentic Supply Chain Vulnerabilities: エージェントが扱う外部ツールやプラグイン、他のエージェントデータセットが改ざんされていることで、悪意ある振る舞いが注入される。エージェントはランタイムで依存要素を組み込むため、攻撃面はより広い
- ASI05 Unexpected Code Execution: エージェントが生成、実行するコードやスクリプトが攻撃者によって悪用され、リモートコード実行やコンテナ侵害、サンドボックス突破が起こる。LLM出力のテキストが実行可能なコードに変換される経路が問題
- ASI06 Memory&Context Poisoning: エージェントが保存する履歴や検索拡張生成(RAG)の出力、要約、埋め込み情報などが攻撃者によって汚染され、推論結果をゆがめたり、目標解釈を狂わせたりする。一時的なプロンプト注入とは異なり、持続的に影響が残る点が特徴
- ASI07 Insecure Inter-Agent Communication: 複数エージェント間の通信で認証や整合性、暗号化が不十分な場合、メッセージの盗聴や改ざん、なりすましが可能になる。リアルタイム通信への攻撃が中心で、ASI06 Memory&Context Poisoningと区別される
- ASI08 Cascading Failures: 1つの誤り(偽情報、汚染メモリ、悪意あるツールなど)が、エージェントネットワーク内で連鎖的に拡大してシステム全体の崩壊を引き起こす。エージェントの自律性により、異常が高速で拡散する点が脅威
- ASI09 Human-Agent Trust Exploitation: エージェントの自然言語能力によってユーザーが過度に信頼し、不正確な助言や誘導によって誤った行動を取らされる。人間が最終判断者であっても、エージェントを悪用した「心理的な攻撃」が成立する
- ASI10 Rogue Agents: エージェント自体が誤作動や汚染、設計不備によって意図から逸脱した行動を自律的に実行する状態。原因が外部からの攻撃であっても、逸脱後の行動そのものに焦点がある。内部脅威のように扱われる
同リストはAIエージェントの安全性確保に取り組む組織が、どこに脆弱性が存在し、どの観点を優先して検証すべきかを把握するための基礎となる。今後の開発や運用において必須の指標として活用されることが期待される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバー攻撃よりシンプルな脅威 北大で起きた“アナログ侵入”の教訓
「また情報漏えいか」と思った人ほど見過ごしてはいけないインシデントが起きました。なんと犯行はネット経由ではなく“目の前のPCを直接操作された”という極めてアナログな手口。原因を踏まえつつ教訓を探しましょう。
ペネトレーションテストを統一する新ツール「NETREAPER」が登場
70種以上のペネトレーションテストツールを統合した「NETREAPER」が公開されている。複数の端末や個別ツールを切り替える負荷を減らし、メニュー方式で迅速に操作できる統合環境として注目されている。
ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
ランサムウェア被害の深刻化を受け、バックアップの実効性が事業継続の要として再び注目されている。ガートナーは形式的な運用だけでなく、復旧力と連携を重視した戦略的見直しが不可欠と警鐘を鳴らしている。
復旧できない「7割の企業」で何が起きている? ランサムウェア被害からの“復旧力”を考える
ランサムウェアが猛威を振るっています。被害を受けた企業のシステム停止はなぜ長引くのでしょうか。侵入を前提とせざるを得ない時代に入った今、企業に求められる“復旧力”の構成要件とは。