Jiraチケットが攻撃ベクターに：「living off AI」PoC攻撃が実証される

佐々山 Tacos

2025.10.17

6月20~23日：サイバーセキュリティ関連ニュース

Jiraチケットが攻撃ベクターに：「living off AI」PoC攻撃が実証される

SC Media – June 20, 2025

AtlassianのMCP（Model Context Protocol）およびJira Service Management（JSM）を標的とした「living off AI」PoC攻撃を、Cato Networksが実証。これは悪意あるプロンプトインジェクションの配布手段としてJiraのチケットを悪用し、統合されているAIモデルを操って内部データを流出させるよう仕向けるものだという。

AtlassianのMCPは、JiraやConfluenceのワークフローにAnthropic製AIモデル「Claude」を統合することを可能にするもので、例えばユーザーは、Jiraのワークアイテムの作成・サマライズ・リプライをClaudeを使って行うことが可能。この際MCPは、Claudeがユーザーをアシストする上で必要とする内部のJira／Confluenceリソースへのアクセスを同モデルに提供することになる。

Catoのセキュリティエンジニアは、統合されたClaudeにプロンプトインジェクションを仕掛ける手段として、JSMのサポートチケットが悪用可能であることを発見。その他の内部Jiraタスクを取得・サマライズせよという指示を細工したチケット経由でClaudeに伝え、生成されたサマリーを攻撃者のチケットへのコメントとして投稿させることに成功し、その様子を動画にまとめている。

ターゲット組織のサポートエンジニアがClaude AIを利用して課題（イシュー）の確認や解消を行っている場合、このプロンプトインジェクションが実行されればユーザーが攻撃を認識するよりも前に内部データが流出してしまう恐れがある。さらにCatoによれば、一部のJSMサポートポータルでは認証なしで誰もがチケットをサブミットできるようになっている上、Google検索の結果からは、外部からアクセス可能なサービスポータルが多数存在することが明らかになっているという。

Catoの調査チームはそのほか、Jiraのチケットを介してAIにプロンプトを与え、その他すべてのオープンなJiraの課題に有害リンク付きのコメントを追加させると言う別の攻撃シナリオについても解説。こちらについては実証済みのエクスプロイトとして示されているわけではなく、実際に実現可能かどうかは不明なものの、もしもこの攻撃が成功すれば、サポートエンジニアがこの有害リンクをクリックし、マルウェア感染などの結果が招かれる恐れがあるとされる。

ヨーロッパの首脳陣、米国テクノロジーへの依存に危機感

TechCrunch – June 21, 2025

ヨーロッパの諸政府が、米国のテクノロジーやサービスの利用について再考している可能性があるという。ニューヨーク・タイムズ紙が報道した。

きっかけになったとみられているのは、トランプ米大統領による国際刑事裁判所（ICC）の主席検察官カリム・カーン氏に対する制裁の実施。この措置は、ICCがイスラエルのネタニヤフ首相とガラント元国防相の逮捕状を発行した決定を受けて講じられたもので、これに従いマイクロソフトはカーン氏のメールアドレスを無効化するに至っている。

マイクロソフト社へも勤務経験のあるデンマークの元外交官キャスパー・クリンゲ氏によれば、このマイクロソフト社の措置を踏まえて多くのヨーロッパ人が代替サービスへの移行を考えるようになったとされる。つまり、米国の企業は自国の政府が特定の組織、国、個人を追求した場合、その方針に従わなければならず、これがヨーロッパの人々にとって懸念材料になっているのだという。例えばICCの職員の中には、スイスのメールサービス「Proton」へ切り替えた者がいる。

一方でマイクロソフトはその後、同様の状況にある顧客を保護するためのポリシー変更を実施したと表明し、トランプ大統領が今月制裁対象としたICCの4人の判事のメールアカウントを閉鎖しなかったと伝えたほか、同社CEOのサティア・ナデラは今週、ヨーロッパの機関を保護するための新たな「ソブリンソリューション」を発表している。