投稿者 global-ai-media 
SaaSセキュリティ企業のAppOmniが、ServiceNowアプリに影響を与えるAIエージェントの脆弱性「BodySnatcher(CVE-2025-12420)」を発見しました。この事例は、単なるソフトウェアのバグ修正にとどまらず、業務自動化を進める日本企業が直面する「AIエージェントの権限管理」という新たな課題を浮き彫りにしています。
AIエージェント普及の裏に潜む「権限管理」の死角
近年、生成AIの活用フェーズは、単なるチャットボットによる「対話・検索」から、自律的にタスクを実行する「AIエージェント」へと移行しつつあります。社内システムのワークフロー自動化に強みを持つServiceNowなどのプラットフォームにおけるAI活用は、日本のバックオフィス業務効率化の切り札として期待されています。
しかし、AppOmniの研究者が発見した「BodySnatcher(CVE-2025-12420)」と呼ばれる脆弱性は、この進化に冷水を浴びせるものです。この脆弱性は、認証されていない攻撃者がAIエージェントを通じて任意のユーザーになりすますことを可能にするものです。これは、LLM(大規模言語モデル)そのものの脆弱性というよりは、AIエージェントを組み込んだアプリケーション側の「アクセス制御」と「本人確認」の不備に起因します。
「BodySnatcher」が示唆する脆弱性の本質
従来、AIのセキュリティリスクといえば、不適切な回答を引き出す「プロンプトインジェクション」が注目されてきました。しかし、BodySnatcherが示すリスクはより深刻です。攻撃者が認証をすり抜け、AIエージェントに対して「私はCEOである」あるいは「IT管理者である」と誤認させることができれば、機密データの抽出や、給与振込先の変更、権限昇格といった具体的なアクションを実行できてしまうからです。
AIエージェントは、ユーザーの意図を汲み取ってシステム操作を代行する「手」を持っています。その手が、認証されていない部外者によって操られるリスクは、従来のWebアプリケーション脆弱性(Broken Access Control)がAIというインターフェースを通じて再燃した形と言えます。
日本の組織文化とセキュリティへの影響
日本企業、特に大企業においては、ServiceNowのようなITサービスマネジメント(ITSM)ツールが業務プロセスの基盤として広く導入されています。日本特有の稟議制度や複雑な承認フローをデジタル化する中で、AIによる自動処理への依存度は高まっています。
ここで懸念されるのは、日本の組織文化に見られる「性善説」に基づいた運用設計です。「社内ネットワークからのアクセスであれば信頼する」「AI経由の申請であれば正しい」といった暗黙の信頼は、BodySnatcherのような攻撃手法に対して極めて脆弱です。また、内部統制(J-SOX)の観点からも、AIエージェント経由で誰が何を実行したのかという証跡(監査ログ)の信頼性が揺らぐことは、コンプライアンス上の重大なリスクとなります。
日本企業のAI活用への示唆
今回の事例を踏まえ、AIエージェントを導入・活用する日本企業のリーダー層やエンジニアは、以下の点に留意してプロジェクトを進める必要があります。
1. SaaS設定とAI権限の再点検(責任分界点の認識)
SaaSベンダーが提供するAI機能であっても、最終的なアクセス権限の設定責任はユーザー企業側にあります。AIエージェントには「最小権限の原則」を適用し、不必要に広範なデータアクセス権や実行権限を与えない設定を徹底する必要があります。
2. 「なりすまし」防止策の強化
AIとの対話セッションが開始される前に、堅牢な認証プロセスが完了していることを確認するアーキテクチャが必要です。特に機微な操作(決済、人事データ変更など)を行う前には、AIによる自動実行ではなく、人間による再認証や承認(Human-in-the-Loop)を強制するフローを設計に組み込むべきです。
3. AI特化型のセキュリティテストの実施
従来の脆弱性診断に加え、AIエージェント特有の振る舞いを検証するテストが必要です。入力値の検証だけでなく、「権限のないユーザーとして振る舞った場合にAIがどう反応するか」という観点でのレッドチーミング(擬似攻撃演習)が、今後は必須のプロセスとなるでしょう。
AIエージェントは強力な武器ですが、それは同時に攻撃者にとっても強力な侵入経路となり得ます。利便性とセキュリティのバランスを見極め、冷静なガバナンス体制を構築することが求められています。