技術的な説明
Tenet SecurityのThreat Labsは2026年6月11日に「Agentjacking」を開示しました。これは、ウェブサイトのJavaScriptに埋め込まれた公開されているData Source Name(DSN)認証情報のみを使用してSentry(アプリケーションパフォーマンス監視プラットフォーム)に細工されたエラーイベントを注入する新しい攻撃クラスです。開発者がAIコーディングエージェント(Claude Code、Cursor、Codex)に「未解決のSentryの問題を修正する」と指示すると、エージェントはSentry MCP サーバー経由でSentryをクエリし、攻撃者が注入したペイロードを受け取ります。このペイロードは正当なSentry修復ガイダンスと区別できないように表示されます。その後、エージェントは攻撃者が制御するコマンドを開発者の完全なローカル権限で実行します。フィッシング、認証バイパス、対象インフラストラクチャの侵害は不要です。
攻撃経路
攻撃者は公開JavaScriptソースコードから対象組織のSentry DSNを取得し、悪意のあるマークダウン指示を含む細工されたエラーイベントをSentryの認証不要な取込エンドポイントにPOSTします。このイベントはMCP経由で信頼できるシステム出力として返され、AIコーディングエージェントがユーザーの操作なしにペイロード(例:悪意のあるnpmパッケージ)を実行します。この攻撃はすべてのネットワークトラフィックが認可されており、すべてのファイル操作が開発者プロセスによって署名されているため、EDRとWAFをバイパスします。
影響を受けるシステム
Claude Code、Cursor、OpenAI CodexをSentry経由でMCPと統合した場合。Tenetは100を超える実際のターゲットで85%の成功率を確認しました。注入可能な公開DSNを持つ2,388の組織が見つかりました。MCP経由でSentryに接続されたAIコーディングエージェントを使用している任意の組織が影響を受けます。
緩和策
即座の対応:(1)外部またはサードパーティデータを返すツールのすべてのMCPサーバー統合を監査し、制御が設定されるまでSentry MCPを無効化します。(2)エージェントがコードを実行またはパッケージをインストールする前に、人間による承認ゲートを強制します。(3)Sentry DSNをローテーションし、MCP取込用のバックエンドプロキシ認証を検討します。中期的には:MCPツール応答の出所ラベリングとテレメトリソースデータからのコード実行を禁止するエージェントサンドボックスを実装します。