はじめに——AIエージェントの「セッション」が狙われている
AIエージェントのセキュリティ対策といえば、プロンプトインジェクション、メモリ汚染、ツール呼び出し乗っ取りなど、「AIならでは」の攻撃ベクトルに目が行きがちです。
しかし2026年、攻撃者が最も効率よく成果を上げているのは、実はもっと古典的な手法——セッションハイジャックです。
AIエージェントは従来のWebアプリケーションと同様にセッショントークンを使って認証状態を維持しますが、決定的に異なる点が3つあります。
1. 長時間稼働する:人間のブラウザセッションが数十分〜数時間なのに対し、AIエージェントは数時間〜数日にわたって連続稼働します。セッショントークンの有効期間が長いほど、窃取のチャンスが増えます。
2. 高い権限を持つ:エージェントはメール送信、ファイル操作、API呼び出し、データベースアクセスなど、複数のツールにまたがる権限を持ちます。1つのセッショントークンを奪うだけで、これらすべてにアクセスできます。
3. 「見た目」で区別できない:人間のセッションであれば、異常なログイン場所やデバイスで不正を検知できます。しかしエージェントのセッションは同一サーバーから発信されるため、正規のリクエストと攻撃者のリクエストを区別するのが極めて困難です。
CrowdStrikeの2026年版グローバル脅威レポートによると、AI対応攻撃は前年比89%増加し、認証後のトークン窃取がMFAを迂回する主要な攻撃手法として急成長しています。また、セッションハイジャック全体の攻撃件数は前年比127%増という報告もあります。
OWASP(Open Worldwide Application Security Project)が2025年12月に公開した「OWASP Top 10 for Agentic Applications 2026」でも、エージェントのアイデンティティと権限の悪用(ASI03: Identity and Privilege Abuse)が主要リスクとして明記されています。
この記事では、AIエージェント特有のセッションハイジャックの手口を体系的に解説し、中小企業が今日から実装できる防御設計を具体的に示します。
前提知識——AIエージェントの「セッション」とは何か
セッションハイジャック対策を理解するために、まずAIエージェントのセッション管理の仕組みを整理します。
従来のWebセッションとの違い
| 項目 | 従来のWebセッション | AIエージェントのセッション |
|---|---|---|
| 利用主体 | 人間(ブラウザ操作) | AIエージェント(自律的なAPI呼び出し) |
| セッション期間 | 数十分〜数時間 | 数時間〜数日(長時間タスク) |
| 認証方式 | ID/パスワード+MFA | APIキー、OAuthトークン、サービスアカウント |
| 権限範囲 | 単一アプリケーション内 | 複数ツール・API・データベースにまたがる |
| 異常検知 | IPアドレス、デバイス、地理情報で判定可能 | 同一サーバーから発信されるため判定困難 |
| 乗っ取り時の影響 | 1ユーザーの操作範囲 | エージェントが接続する全システムに波及 |
AIエージェントが使う主なトークンの種類
AIエージェントのセッション管理には、複数の種類のトークンが使われます。それぞれ攻撃対象としてのリスクが異なります。
APIキー:エージェントがLLMプロバイダー(OpenAI、Anthropic等)やSaaSサービスにアクセスするために使う認証情報です。多くの場合、長期間有効で、ローテーション(定期的な更新)が行われないまま使われています。設定ファイルやコード内に平文で保存されているケースも多く、最も窃取されやすいトークンです。
OAuthアクセストークン:Google Drive、Slack、GitHub等の外部サービスと連携するために使われます。通常は1時間程度の有効期限がありますが、リフレッシュトークンと組み合わせることで長期間のアクセスが可能になります。
リフレッシュトークン:アクセストークンを更新するために使われる長期間有効なトークンです。これを窃取されると、攻撃者は新しいアクセストークンを何度でも取得でき、実質的に無期限のアクセス権を得ます。
セッションCookie:MCPサーバーやWebベースの管理画面にアクセスする際に使われます。インフォスティーラー型マルウェアによるブラウザCookieの窃取は、2026年のセッションハイジャックの最も一般的な手口の一つです。
攻撃手法の全体像——AIエージェントのセッションはこう狙われる
AIエージェントのセッションを標的とする攻撃手法を5つのカテゴリに分けて解説します。
攻撃1:設定ファイルからのトークン窃取
手口:エージェントの設定ファイル(.env、.mcp.json、.claude/settings.json等)に平文で保存されたAPIキーやトークンを窃取します。
2026年2月に公開されたCVE-2026-21852(CVSS 5.3)は、Claude Codeのプロジェクト設定ファイルを通じてAPIキーを窃取できる脆弱性の実例です。ANTHROPIC_BASE_URL環境変数をプロキシにリダイレクトすることで、平文のAPIキーを含む認証ヘッダー全体をキャプチャできました。
狙われるファイルの例:.env(環境変数ファイル)、.mcp.json(MCPサーバー設定)、.claude/settings.json(Claude Code設定)、docker-compose.yml(コンテナ設定)、config.yaml(ワークフロー設定)
なぜ危険か:BlueRock Securityの調査によると、7,000以上のMCPサーバーの36.7%がSSRF(サーバーサイドリクエストフォージェリ)に脆弱であり、一部の調査ではMCPサーバーの設定ファイルからAWSのIAMアクセスキーとセッショントークンが取得可能でした。
攻撃2:リプレイ攻撃(トークン再利用)
手口:正規のセッショントークンを傍受し、そのトークンを使って正規ユーザーになりすます攻撃です。
AIエージェントの場合、通常のWebセッションと比べて以下の理由でリプレイ攻撃が成功しやすくなります。
トークンの有効期間が長い(数時間〜数日)ため、傍受から利用までの猶予が大きい。同一IPアドレス・同一デバイスからリクエストが送信されるため、正規リクエストとの区別が困難。エージェントがバックグラウンドで動作しているため、異常に気づくまでの時間が長い。
具体的な傍受経路:暗号化されていないMCPサーバー間通信の盗聴、情報窃取型マルウェア(インフォスティーラー)によるブラウザCookieの抜き取り、Adversary-in-the-Middle(AiTM)フィッシングによるOAuthトークンの中間傍受、ログファイルへのトークン出力の収集。
攻撃3:セッション固定化(Session Fixation)
手口:攻撃者があらかじめ知っているセッションIDをエージェントに強制的に使わせ、エージェントが認証を完了した後にそのセッションを乗っ取る攻撃です。
MCPサーバーの接続フローが特に脆弱です。多くのMCPサーバーはクライアント認証を実装しておらず、接続時にセッションIDの検証を行いません。2026年1月のAIセキュリティインシデントレポートでは、認証なしのMCPエンドポイントが原因でエージェントの乗っ取りと認証情報の漏洩が発生した事例(AISSI 8.1)が報告されています。
攻撃4:プロンプトインジェクション経由のトークン漏洩
手口:悪意のあるコンテンツ(メール、Webページ、ドキュメント)にエージェントを誘導し、エージェントのコンテキストウィンドウに含まれるセッショントークンやAPIキーを外部に送信させます。
OWASP ASI Top 10では、ASI01(Agent Goal Hijack)として分類されている攻撃です。エージェントはデータと命令を区別できないため、悪意のある文書を読み込んだだけで、エージェントのコンテキストウィンドウに保持されたトークンが漏洩する可能性があります。
Repello AIの調査によると、2025年にプロンプトインジェクションで侵害された90以上の組織では、主な攻撃目的はデータ破壊ではなく認証情報の窃取でした。攻撃者はエージェントのコンテキストウィンドウが認証情報の格納庫であることを理解しています。
攻撃5:A2A通信の傍受・なりすまし
手口:マルチエージェント環境で、エージェント間の通信を傍受してセッション情報を窃取するか、正規のエージェントになりすまして接続します。
OWASP ASI Top 10のASI07(Insecure Inter-Agent Communication)として分類されています。エージェント間の通信で弱い認証やメッセージの完全性チェックの欠如がある場合、スプーフィング(なりすまし)、傍受、改ざんが可能になります。
オーケストレーションエージェント(複数のエージェントを管理する親エージェント)が侵害された場合、下流の全エージェントのAPIキーが漏洩する可能性があります。研究シミュレーションでは、1つのエージェントが侵害されると、4時間以内に下流の意思決定の87%が汚染されるという結果が報告されています。
OWASP ASI Top 10が示すセッション関連リスクの位置づけ
2025年12月に公開された「OWASP Top 10 for Agentic Applications 2026」は、100名以上のセキュリティ専門家が策定した、AIエージェント固有のセキュリティリスクのフレームワークです。セッションハイジャック関連のリスクは、複数のカテゴリにまたがっています。
| OWASP ASI | リスク名 | セッションハイジャックとの関連 |
|---|---|---|
| ASI01 | Agent Goal Hijack | プロンプトインジェクション経由でトークンを外部送信させる |
| ASI03 | Identity and Privilege Abuse | セッショントークンの窃取・再利用による権限悪用の直接的なリスク |
| ASI04 | Agentic Supply Chain Vulnerabilities | 悪意のあるMCPサーバーやプラグインによるトークン窃取 |
| ASI07 | Insecure Inter-Agent Communication | エージェント間通信でのトークン傍受・なりすまし |
| ASI08 | Cascading Failures | 1つのセッション侵害が連鎖的に全エージェントに波及 |
OWASP ASI Top 10は、2つの基本原則を掲げています。
最小エージェンシー(Least Agency):エージェントには、タスクの遂行に必要な最小限の自律性・ツールアクセス・認証情報スコープのみを付与する。従来の「最小権限」の原則に、「自律性」の次元を加えたものです。
強力な可観測性(Strong Observability):エージェントが何をしているか、なぜそうしているか、どのツールを呼び出しているかを、明確かつ包括的に可視化する。ゴール状態、ツール使用パターン、意思決定経路の詳細なログが必須です。
2026年の実際のインシデント事例
セッションハイジャックの脅威が理論上のものではなく、実際に発生していることを示す事例を紹介します。
事例1:Microsoft Copilotの「Reprompt」攻撃(2026年1月)
概要:Microsoft CopilotのURL内のプロンプトパラメータを操作することで、セッションのハイジャックとデータの窃取が可能な脆弱性が発見されました。AIセキュリティ重大度指数(AISSI)で8.3のスコアが付けられています。
影響:攻撃者はセッションをまたいでデータを抜き取ることが可能でした。これはプロンプト操作がセッションハイジャックのベクトルとして実用的であることを示す重要な事例です。
事例2:MCPサーバー無認証エンドポイントの悪用(2026年1月)
概要:認証メカニズムを持たないMCPエンドポイントが原因で、エージェントの乗っ取りと認証情報の漏洩が発生しました(AISSI 8.1)。
影響:Trend Microの調査で、クライアント認証もトラフィック暗号化もない492のMCPサーバーが確認されました。これらのサーバーに接続するエージェントのセッションは、事実上無防備な状態にありました。
事例3:OpenAIプラグインエコシステムのサプライチェーン攻撃(2026年)
概要:47の企業環境からエージェントの認証情報が収集されました。攻撃者はこれらの認証情報を使って、6か月間にわたり顧客データ、財務記録、機密コードにアクセスしていました。
教訓:エージェントの認証情報は、窃取されてから発見されるまでの期間が非常に長い傾向があります。人間のアカウントであれば不審なログインで検知されますが、エージェントのトークンは同一のインフラから使われるため、正規の利用との区別がつきにくいのです。
防御設計——5つの対策レイヤー
セッションハイジャック対策は、単一の防御策では不十分です。以下の5つのレイヤーを組み合わせて防御を設計します。
対策1:短命トークン(Short-Lived Tokens)の徹底
セッションハイジャック対策の最も基本的かつ効果的な対策は、トークンの有効期間を最小化することです。
実装のポイント:
アクセストークンの有効期限を15〜60分に設定する。リフレッシュトークンは24時間以内に有効期限を設定し、1回使い切りにする。APIキーはサービスごとに分離し、90日以内にローテーションする。エージェントのタスクが完了したら、即座にトークンを失効させる。
ツール別の設定例:
n8nのワークフローでは、各実行サイクルの開始時に新しいトークンを取得し、終了時に破棄する。DifyのAPIキー管理では、環境変数での管理に加え、Vault(HashiCorp Vault等)での一元管理を推奨する。MCPサーバーの接続には、接続ごとに新しいセッショントークンを発行する仕組みを導入する。
対策2:トークンバインディング(Token Binding)
トークンを発行された環境(デバイス、IPアドレス、プロセスID等)に紐付け、別の環境での使用を防止する技術です。
実装のポイント:
Mutual TLS(mTLS)を使用し、トークンをクライアント証明書に紐付ける。トークンにリクエスト元のIPアドレス、User-Agent、プロセスIDをクレーム(claims)として含める。トークン検証時に、これらのクレームと実際のリクエスト情報を照合する。不一致の場合はトークンを即座に無効化し、アラートを発報する。
具体的な実装:
OAuthトークンの場合、DPoP(Demonstration of Proof-of-Possession)バインディングを導入する。これはRFC 9449で標準化されたプロトコルで、トークンを特定のキーペアに紐付け、Bearer Token(誰でも使えるトークン)ではなくPoP Token(証明付きトークン)として運用します。APIキーの場合、IPホワイトリストとclient_idの紐付けを組み合わせる。
対策3:エージェント専用アイデンティティの分離
OWASP ASI Top 10でも強調されている原則ですが、エージェントにユーザーのセッションや認証情報を「借用」させてはいけません。エージェントには独自のマネージドアイデンティティを割り当て、スコープを制限します。
実装のポイント:
エージェント専用のサービスアカウントを作成し、人間のユーザーアカウントとは完全に分離する。各エージェントに一意のclient_idを割り当て、行動をトレースできるようにする。エージェントの権限はタスクごとにスコープし、タスク完了後に権限を回収する。マルチエージェント環境では、エージェント間の認証にもmTLSまたはSPIFFE/SPIREを導入する。
Microsoft Agent Governance Toolkitの例:
2026年4月に公開されたMicrosoftのAgent Governance Toolkit(MITライセンス)は、DID(分散型ID)ベースのアイデンティティと行動信頼スコアリングを組み合わせた、エージェント専用のアイデンティティ管理機構を提供しています。OWASP ASI Top 10の全10項目に対応する防御機能を1ミリ秒以下のレイテンシで提供します。
対策4:継続的アクセス評価(Continuous Access Evaluation)
トークンを発行した後も、継続的にセッションの正当性を評価し、異常が検知された場合はリアルタイムでセッションを無効化する仕組みです。
実装のポイント:
トークンの使用パターン(APIコール頻度、アクセス先、データ転送量)のベースラインを確立する。ベースラインから逸脱したセッションを自動的にフラグし、リスクスコアに基づいて段階的な対応(再認証要求→セッション一時停止→強制終了)を実施する。トークンの検証インターバルを短くし(例:5分ごと)、リスク条件が変化した場合は即座にアクセスを取り消す。
監視すべき異常パターン:
通常と異なるAPIエンドポイントへのアクセス。通常の業務時間外でのアクティビティ。短時間での大量データ転送。未知のツールやMCPサーバーへの接続試行。通常のワークフローにないコマンド実行。
対策5:MCPサーバー・A2A通信のセキュア化
MCPサーバーとエージェント間通信のセキュリティは、セッションハイジャック対策の「最後の砦」です。
MCPサーバーの必須対策:
すべてのMCPサーバーにクライアント認証を導入する(認証なしのエンドポイントを排除)。MCP通信をTLS 1.3で暗号化する。MCPサーバーが保持する認証情報は、環境変数や設定ファイルではなくシークレットマネージャー(HashiCorp Vault、AWS Secrets Manager等)で管理する。接続元のエージェントを検証するためのallowlistを設定する。
A2A(エージェント間)通信の必須対策:
エージェント間の通信にmTLSを強制する。各メッセージにデジタル署名を付与し、改ざんを検知する。エージェント間の認証にはタスクスコープの委譲トークン(Delegation Token)を使用し、スコープ外の操作を防止する。
中小企業向け「今日から始める」チェックリスト
上記の対策を一度にすべて実装するのは現実的ではありません。以下のチェックリストを優先度順に実施してください。
今週やること(緊急度:高)
□ 設定ファイルの監査:自社のAIエージェント環境(Claude Code、Cursor、Dify、n8n等)で、APIキーやトークンが設定ファイルやコードに平文で保存されていないか確認する。見つかった場合は即座にシークレットマネージャーに移行する。
□ MCPサーバーの認証確認:使用しているMCPサーバーにクライアント認証が実装されているか確認する。認証なしのMCPサーバーは使用を中止するか、認証機能を追加する。
□ トークン有効期限の確認:使用しているAPIキーやOAuthトークンの有効期限を確認し、無期限のものは期限を設定する。
今月やること(緊急度:中)
□ エージェント専用アカウントの作成:エージェントが人間のユーザーアカウントで動作している場合、専用のサービスアカウントを作成し、最小権限の原則で権限を設定する。
□ トークンローテーションの自動化:APIキーを90日以内に自動ローテーションする仕組みを導入する(GitHub ActionsやCI/CDパイプラインでの自動化を推奨)。
□ ログ監視の開始:エージェントのAPI呼び出しログを収集し、異常なパターン(深夜の大量アクセス、未知のエンドポイントへの接続等)を検知するアラートを設定する。
今四半期やること(緊急度:標準)
□ mTLSの導入:MCPサーバーとの通信、および重要なAPI接続にmTLSを導入する。
□ 継続的アクセス評価の導入:トークンの使用パターンを監視し、異常時にセッションを自動無効化する仕組みを導入する。
□ インシデント対応手順の策定:エージェントのセッションが侵害された場合の対応手順(トークン失効、影響範囲の特定、復旧手順)を文書化する。
防御ツール・フレームワーク一覧
セッションハイジャック対策に活用できるツールとフレームワークをまとめます。
| ツール / フレームワーク | 用途 | コスト |
|---|---|---|
| Microsoft Agent Governance Toolkit | エージェントのランタイムセキュリティガバナンス(OWASP ASI全10項目対応) | 無料(MIT License) |
| HashiCorp Vault | シークレット管理、トークンローテーション自動化 | OSS版無料 / Enterprise有料 |
| mcp-scan | MCPサーバーの脆弱性スキャン | 無料(OSS) |
| SPIFFE/SPIRE | エージェント間のゼロトラストID発行・検証 | 無料(CNCF) |
| Langfuse / Helicone | LLM/エージェントの可観測性・異常検知 | 無料枠あり / 有料プラン |
| Continuous Access Evaluation(CAE) | Microsoft Entra IDのリアルタイムセッション検証 | Entra ID P1以上 |
よくある質問(Q&A)
Q1. MFAを導入していればセッションハイジャックは防げる?
いいえ。MFA(多要素認証)は認証時(ログイン時)のセキュリティを強化しますが、セッションハイジャックは認証後のトークンを標的にします。攻撃者がセッショントークンを窃取した場合、MFAを完全に迂回してアクセスできます。2026年の統計では、成功したサイバー攻撃の87%が、正規のMFAログイン後のセッションハイジャックを経由していたという報告があります。MFAは引き続き重要ですが、それだけでは不十分であり、本記事で解説したトークンバインディングや継続的アクセス評価と組み合わせる必要があります。
Q2. 小規模なエージェント環境(n8nやDifyで1〜2個のワークフロー)でもセッションハイジャック対策は必要?
はい。小規模であっても、エージェントがAPIキーやOAuthトークンを使って外部サービスに接続している限り、リスクは存在します。むしろ小規模環境ほど、設定ファイルに平文でAPIキーを保存しているケースが多く、発見も遅れがちです。最低限として、APIキーの平文保存の排除、トークン有効期限の設定、MCPサーバー接続の認証確認の3点は即座に実施してください。
Q3. MCPサーバーのセキュリティはどうやって確認する?
まずmcp-scan(OSSツール)を使ってMCPサーバーの脆弱性スキャンを実施します。チェックすべき項目は、クライアント認証の有無、通信の暗号化(TLS)の有無、認証情報の保存方法(平文かシークレットマネージャーか)、接続元の制限(allowlist)の有無の4点です。CoSAI(Coalition for Secure AI)が2026年1月に公開したMCPセキュリティ白書では、12のコア脅威カテゴリと約40の具体的脅威が整理されており、MCPサーバーのセキュリティ評価の基準として活用できます。
Q4. エージェントのセッションが侵害された疑いがある場合、最初に何をすべき?
以下の順序で対応します。即座に該当エージェントのすべてのトークン(APIキー、OAuthトークン、リフレッシュトークン)を失効させる。次に、エージェントが接続していたすべてのサービスのアクセスログを確認し、不正なアクセスの有無を調査する。そして、影響を受けた可能性のあるデータの範囲を特定し、必要に応じて関係者に通知する。最後に、新しいトークンを発行する前に、侵害の原因を特定し、対策を実施してから再開します。CrowdStrikeの報告によると、平均的な攻撃者の侵入後の横展開時間は29分まで短縮されているため、初動の速さが被害範囲を決定します。
Q5. 既存のAIセキュリティ記事(メモリ汚染、出力汚染、ツール呼び出し乗っ取り等)の対策と、本記事の対策はどう組み合わせるべき?
セッションハイジャックは、他の攻撃ベクトルと組み合わせて使われることが多いため、層状の防御(Defense in Depth)として統合的に実装します。プロンプトインジェクション対策がトークン漏洩の防止に寄与し、メモリ汚染対策がセッション情報の改ざんを防止し、ツール呼び出しの入力バリデーションが不正なトークン操作を防止します。本記事の対策は、これらの既存対策の「下」に位置するインフラ層のセキュリティであり、すべての攻撃に対する最後の防衛線として機能します。
まとめ——「エージェントのセッションは、人間のセッションより危険」
AIエージェントのセッションハイジャックは、従来のWebセキュリティの問題と新しいAIセキュリティの問題が交差する領域です。2026年の脅威ランドスケープにおいて、以下の3点を改めて強調します。
1. トークンは「鍵」であり、エージェントの「鍵束」は人間より大きい。エージェントのセッショントークンは、人間のそれよりも多くのシステムへのアクセス権を持ちます。1つのトークンの侵害が、連鎖的な被害に直結します。
2. 古典的な対策が最も効く。短命トークン、トークンバインディング、mTLSといった、Webセキュリティの世界で長年使われてきた対策が、AIエージェントの世界でも最も効果的です。「AIならではの新しい対策」を探す前に、まず基本を徹底してください。
3. 可観測性がすべての前提。エージェントが何をしているか、どのトークンをどこに送っているかを把握できなければ、いかなる防御策も機能しません。ログを取り、監視し、異常を検知する仕組みを最優先で構築してください。
参考リンク
- OWASP Top 10 for Agentic Applications 2026
- Microsoft Agent Governance Toolkit(GitHub)
- CrowdStrike 2026 Global Threat Report
- Microsoft Security Blog — Addressing the OWASP Top 10 Risks in Agentic AI
免責事項:本記事は2026年4月時点の公開情報に基づく情報提供であり、特定の製品やサービスの推奨ではありません。セキュリティ対策の実装は、自社の環境とリスク評価に基づいて判断してください。AIセキュリティの脅威と対策は急速に進化しているため、最新情報は各公式ソースで確認してください。
コメント