AIコーディングエージェントがEDRを鳴らす──Sophos調査が示す「善意の自動化」と攻撃挙動の境界

AIコーディングエージェントがEDRを鳴らす──Sophos調査が示す「善意の自動化」と攻撃挙動の境界

Sophosは、Claude Code、Cursor、OpenAI CodexなどのAIコーディングエージェントが、エンドポイントの行動検知ルールを発火させている実例を公開した。調査は2026年6月の7日間のWindowsテレメトリを対象にしており、活動の多くは悪意ではなく、開発作業やブラウザ自動化の一部だったという。

それでも、検知エンジンから見ると問題は単純ではない。ブラウザ認証情報へのアクセス、PowerShell実行、システム標準ツールによるダウンロード、スタートアップフォルダへの書き込みは、攻撃者の行動と重なるからだ。

何が検知されたのか

Sophosの分析では、ブロッキングルールの大きな割合をCredential AccessとExecutionが占めた。たとえば、GStackの「/browse」スキルがブラウザ自動化のためにDPAPIを使って保存データを復号しようとし、認証情報窃取を検知するルールに引っかかった。

別の例では、エージェントがPythonやPowerShellを使い、失敗すると別の手段に切り替えた。これは開発者から見ると「うまくいくまで試す」自然な振る舞いだが、防御側から見ると、攻撃者が検知を回避しながら横展開する動きにも見える。

AIエージェントの行動

防御側での見え方

ブラウザ自動化のための保存データ参照

認証情報アクセス

certutilやbitsadminでの取得試行

Living off the land型のダウンロード

PowerShellやPythonによる補助処理

スクリプト実行・回避行動

起動時実行フォルダへの書き込み

永続化の疑い

企業は「許可」だけでなく「境界」を設計する

AIエージェントを開発現場に導入する企業は、単に利用を許可するだけでは足りない。どのリポジトリ、どの端末、どの権限、どの外部通信まで許すのかを決め、EDRやSIEM側にも正当なエージェント利用を識別する文脈を持たせる必要がある。

特に注意したいのは、権限確認を省略する実行モードや、ブラウザ・認証情報・社内ファイルへ広くアクセスできる設定だ。便利さを優先しすぎると、誤検知だけでなく、本当に乗っ取られたエージェントの行動も見分けにくくなる。

検知設計はエージェント時代へ更新が必要

Sophosの結論は、AIエージェントが悪いという話ではない。むしろ、既存の行動検知が正しく反応していることを示している。変わったのは、同じ行動を「善意の自動化」も「攻撃者」も実行するようになった点だ。

今後のセキュリティ運用では、プロセス名やコマンドだけでなく、誰の承認で、どの作業目的で、どの範囲のデータに触れたかを合わせて判断する必要がある。AIエージェント導入は、開発生産性だけでなく検知・監査の設計も同時に変える。

参考:Sophos / The Hacker News

この記事に携わった人
Mynto編集部
Mynto.aiの編集部です。
関連記事
お問い合わせ各種

課題解決のためのお役立ち資料ダウンロードや、
サービスのお問い合わせが可能です。
お気軽にご相談ください。