投稿者 global-ai-media 
SaaSセキュリティ企業のAppOmniが、ServiceNowにおいてAIエージェントが悪用される脆弱性「BodySnatcher」を報告しました。この事例は、日本企業が現在急速に進めている「自律型AI(エージェント)」の導入において、従来のセキュリティ対策とは異なる視点が必要であることを示唆しています。
AIエージェントの「乗っ取り」リスクとは
AppOmniの研究者が公表した「BodySnatcher」と呼ばれる脆弱性は、企業のITサービス管理(ITSM)などで広く利用されているServiceNowプラットフォームにおいて発見されました。報告によれば、この脆弱性を悪用することで、攻撃者は正当なユーザーになりすまし、AIエージェントを通じて不正なアクションを実行させることが可能になるとされています。
これは単なるソフトウェアのバグ修正で終わる話ではありません。生成AIが単なる「チャットボット(情報の検索・要約)」から、システム操作やワークフロー実行を担う「エージェント(行動の代行)」へと進化したことで、攻撃対象が「情報」から「業務プロセスそのもの」へと拡大していることを象徴しています。攻撃者がAIを騙し、あるいはAIへの入力権限を悪用して、本来許可されていないデータの持ち出しや設定変更を行わせるリスクは、今後日本企業が直面する最大の課題の一つです。
「読むAI」から「動くAI」への転換点における危うさ
現在、多くの日本企業が人手不足解消や業務効率化の切り札として、RAG(検索拡張生成)による社内ナレッジ検索だけでなく、APIを叩いて処理を実行する「Agentic AI(エージェント型AI)」の実装を急いでいます。
しかし、今回の事例が示すように、AIに「手足(実行権限)」を与えることには慎重な設計が求められます。従来、人間がGUI(画面)を操作して行う業務には、画面遷移や承認フローといった目に見える制約がありました。しかし、AIエージェントがAPI経由で裏側のシステムを直接操作する場合、ユーザーインターフェース上の制約をすり抜け、論理的な脆弱性を突かれる可能性があります。特に「なりすまし」によってAIエージェントが操作された場合、ログ上は「正当なAIによる処理」として記録されるため、検知が遅れるリスクもあります。
日本企業におけるSaaS設定と責任分界点
ServiceNowのようなグローバルSaaSは、日本の大企業でもDXの中核基盤として広く採用されています。ここで注意すべきは、クラウドセキュリティにおける「責任共有モデル」の再認識です。
プラットフォーム自体の脆弱性(今回のBodySnatcherのようなケース)はベンダーが修正パッチを提供しますが、その上で動く「AIエージェントにどこまでの権限を与えるか」「誰がAIを利用できるか」というアクセス制御(IAM)や権限設定は、ユーザー企業の責任です。日本の組織では、ベンダーやSIerの設定したデフォルト状態をそのまま運用するケースが散見されますが、AI機能が追加された際は、改めて「最小権限の原則」に基づいた見直しが不可欠です。
日本企業のAI活用への示唆
今回の脆弱性事例を踏まえ、日本企業の実務担当者や意思決定者は以下のポイントを考慮してAI実装を進めるべきです。
1. AIエージェントへの権限委譲は「最小限」から始める
AIにシステム操作を行わせる場合、管理者権限などの強い権限を持たせないことが鉄則です。特定のタスクに必要な最小限の読み取り・書き込み権限のみを付与し、影響範囲を限定してください。
2. 「Human-in-the-loop(人間による確認)」の徹底
データの削除、送金、契約変更など、ビジネス上の重要度が高いアクションについては、AIが自律的に完了させるのではなく、最終的に人間が承認ボタンを押すプロセスを組み込むべきです。これにより、万が一AIが乗っ取られたりハルシネーション(誤作動)を起こしたりした場合の防波堤となります。
3. 入力検証と出力監査の強化
プロンプトインジェクション(AIへの悪意ある命令)への対策に加え、AIが生成したアクションリクエストがビジネスロジックとして妥当かどうかを検証する層を設ける必要があります。また、AIの活動ログは従来のシステムログとは別に、プロンプトと実行結果をセットで監査できる体制を整えることが、ガバナンス対応として求められます。