脅威モデル

AIエージェントセキュリティのためのMITRE ATLASフレームワーク

v1.0-draft MITRE ATLAS 2025

脅威の総数

クリティカルリスク

高リスク

中リスク

低リスク

クリティカル

高

中

低

ATLAS戦術別脅威マトリクス

偵察

AML.TA0002

T-RECON-001

エージェントエンドポイントの発見

AML.T0006 Medium

T-RECON-002

チャネル統合のプロービング

AML.T0006 Low

T-RECON-003

スキル機能の偵察

AML.T0006 Low

初期アクセス

AML.TA0004

T-ACCESS-001

ペアリングコードの傍受

AML.T0040 Medium

T-ACCESS-002

AllowFromのなりすまし

AML.T0040 Medium

T-ACCESS-003

トークンの窃取

AML.T0040 High

T-ACCESS-004

悪意のあるスキルによるエントリポイント

AML.T0010.001 Critical

T-ACCESS-005

侵害されたスキルのアップデート

AML.T0010.001 High

T-ACCESS-006

チャネル経由のプロンプトインジェクション

AML.T0051.000 High

実行

AML.TA0005

T-EXEC-001

直接プロンプトインジェクション

AML.T0051.000 Critical

T-EXEC-002

間接プロンプトインジェクション

AML.T0051.001 High

T-EXEC-003

ツール引数インジェクション

AML.T0051.000 High

T-EXEC-004

実行承認のバイパス

AML.T0043 High

T-EXEC-005

悪意のあるスキルコードの実行

AML.T0010.001 Critical

T-EXEC-006

MCPサーバーのコマンドインジェクション

AML.T0051.000 High

永続化

AML.TA0006

T-PERSIST-001

スキルベースの永続化

AML.T0010.001 Critical

T-PERSIST-002

汚染されたスキルアップデートの永続化

AML.T0010.001 High

T-PERSIST-003

エージェント設定の改ざん

AML.T0010.002 Medium

T-PERSIST-004

窃取されたトークンの永続化

AML.T0040 High

T-PERSIST-005

プロンプトインジェクションによるメモリ汚染

AML.T0051.000 Medium

防御回避

AML.TA0007

T-EVADE-001

モデレーションパターンのバイパス

AML.T0043 High

T-EVADE-002

コンテンツラッパーの脱出

AML.T0043 Medium

T-EVADE-003

承認プロンプトの操作

AML.T0043 Medium

T-EVADE-004

段階的ペイロード配信

AML.T0043 High

探索

AML.TA0008

T-DISC-001

ツールの列挙

AML.T0040 Low

T-DISC-002

セッションデータの抽出

AML.T0040 Medium

T-DISC-003

システムプロンプトの抽出

AML.T0040 Medium

T-DISC-004

環境変数の列挙

AML.T0040 Medium

データ窃取

AML.TA0010

T-EXFIL-001

web_fetchを介したデータ窃取

AML.T0009 High

T-EXFIL-002

不正なメッセージ送信

AML.T0009 Medium

T-EXFIL-003

スキルを介した認証情報の収集

AML.T0009 Critical

T-EXFIL-004

トランスクリプトの窃取

AML.T0009 High

影響

AML.TA0011

T-IMPACT-001

不正なコマンド実行

AML.T0031 Critical

T-IMPACT-002

リソース枯渇（DoS）

AML.T0031 High

T-IMPACT-003

レピュテーションの毀損

AML.T0031 Medium

T-IMPACT-004

データの破壊

AML.T0031 High

T-IMPACT-005

エージェントを介した金融詐欺

AML.T0031 High

主要な攻撃チェーン

悪意のあるスキルの完全キルチェーン

T-RECON-003→T-EVADE-001→T-ACCESS-004→T-EXEC-005→T-PERSIST-001→T-EXFIL-003

ClawHubを偵察 → 回避的なスキルを作成 → ユーザーがインストール → コード実行 → 永続化 → 認証情報の収集

スキルサプライチェーン攻撃

T-ACCESS-005→T-EVADE-004→T-EXEC-005→T-PERSIST-002→T-EXFIL-004

パブリッシャーを侵害 → 段階的ペイロードをプッシュ → アップデート時に実行 → 永続化を維持 → トランスクリプトを窃取

プロンプトインジェクションからRCEへ

T-ACCESS-006→T-EXEC-001→T-EVADE-003→T-EXEC-004→T-IMPACT-001

チャネル経由でアクセス → プロンプトを注入 → 承認を操作 → チェックをバイパス → コマンドを実行

間接インジェクションによるデータ窃取

T-EXEC-002→T-DISC-004→T-EXFIL-001

取得コンテンツを汚染 → 環境を列挙 → web_fetch経由で窃取

トークン窃取による永続的アクセス

T-ACCESS-003→T-PERSIST-004→T-DISC-002→T-EXFIL-002

トークンを窃取 → アクセスを維持 → セッションデータを抽出 → メッセージ経由で窃取

金融詐欺チェーン

T-ACCESS-006→T-EXEC-001→T-DISC-001→T-IMPACT-005

チャネルアクセスを取得 → プロンプトを注入 → 金融ツールを列挙 → 詐欺を実行

信頼境界

サプライチェーン

ClawHub

スキル公開（セマンティックバージョニング、SKILL.md必須）
パターンベースのモデレーションフラグ
VirusTotal Code Insight
GitHubアカウント年齢の検証

チャネルアクセス制御

Gateway

デバイスペアリング（30秒の猶予期間）
AllowFrom / AllowList検証
トークン/パスワード/Tailscale認証

セッション分離

Agent Sessions

セッションキー = agent:channel:peer
エージェントごとのツールポリシー
トランスクリプトのログ記録

ツール実行

Execution Sandbox

Dockerサンドボックスまたはホスト（実行承認）
Nodeリモート実行
SSRF防御（DNSピンニング + IPブロック）

外部コンテンツ

Fetched URLs / Emails / Webhooks

外部コンテンツのラッピング（XMLタグ）
セキュリティ通知のインジェクション