Tool Hijackingとは
Tool Hijackingとは、AIエージェントが使うべきツールやAPIの選び方を攻撃者の都合に寄せてしまう攻撃です。ツールのアカウントを盗む話だけでなく、AIに「この道具を使うべき」と思い込ませる操作まで含みます。
AIの「道具選び」をずらす
AIエージェントはFunction callingやMCP(外部ツールをAIから呼び出す接続方式)を通じて、検索、メール、CRM、決済、社内DBなどのツールを呼び出す設計です。ここで危ないのは、ツールの実体だけでなく、ツール名、説明、過去の記憶、運用ポリシーのような周辺情報も判断材料になること。攻撃者が長期メモリへ偽の事故報告や技術メモを紛れ込ませると、AIが自然に間違ったツールを選ぶ可能性があります。
経営側で見るべき点は、ツール連携を「便利な自動化」として一括承認しないことです。どのツールを、どの条件で、どの権限まで使わせるかをログで追えるようにし、重要操作は人間の承認を残す。MCP Tool PoisoningやTool Supply Chain Attackと合わせて、AIの道具箱そのものを棚卸しする発想が必要になります。
Topicツールの「説明文」も攻撃面になる
WebMCP Tool Surface Poisoningの研究では、ツールを差し替えるTool Hijackingと、説明文などでAIの見え方を変えるTool Framingを分けた整理が示されています。人間には補足説明に見える項目でも、AIには道具の役割を決める手がかり。説明欄も監査対象です。
Tool Hijackingに関するよくある質問
- Tool Hijackingはアカウント乗っ取りですか?
- 必ずしも違います。AIが見るツール説明や記憶を操作し、選ぶ道具をずらす形も含みます。
- 業務での優先対策は何ですか?
- ツール登録の承認、権限の最小化、呼び出しログ、重要操作の人間確認をセットで設計することです。
