AIコーディングツール導入でMCC乗っ取り被害 — Antigravity・Claude Codeの脆弱性とシャドーAI対策

広告運用の現場に衝撃が走っています。広告の裏側(@hassii_ad)氏のポストによると、ある代理店がAIコンサルの支援で Claude Code と Google Antigravity を導入した結果、Google Ads の MCC(マネージャークライアントセンター)アカウントが乗っ取られ、被害額は8桁後半に達したとのことです。

知り合いの代理店がとあるAI導入したらMCCが乗っ取られて桁違いの損害でてて震えた。こういうのこれから増えそうですね。 — 広告の裏側(@hassii_ad) 2026年2月17日

この事態を受けて、まな(@ADHDHSP249834)氏は「AIコンサルがClaude CodeとAntigravityの導入を進めたんですかね?その時点で大問題です」と指摘しています。

基本は3大LLMとCopilot程度に止めるべきです。またシャドーAI対策を進めていなかったことも想定されますね。セキュリティ対策をせずに、ローカルファイルにアクセスできるAIツールを導入するのはNGです! — まな(@ADHDHSP249834)

MCC乗っ取りの推定原因

@hassii_ad 氏は乗っ取りの原因として4つの可能性を挙げています。

原因概要
悪意あるWebサイト指示プロンプトインジェクションによりAIの動作を乗っ取る
配布プロンプトへの悪意ある指示混入AIコンサルまたは社員が使用したプロンプトに仕込まれた攻撃
MCPツールの悪用Model Context Protocol ツールを経由した不正操作
トークン流出自動化過程でAPIトークンや認証情報が漏洩

特に深刻なのは、MCCが正規の権限で操作された場合、通常の操作と区別がつかず「補償は絶望的」という点です。Google Ads の MCC アカウントは複数の広告アカウントを一元管理する仕組みのため、一度乗っ取られると被害が連鎖的に広がります。

Google Ads には予算制限やセキュリティ機能が存在しますが、正規権限で操作された場合にはほとんど機能しません

既存のセーフガード一覧

機能内容乗っ取り時に有効か
日予算の上限1日の費用は日予算の2倍まで攻撃者が日予算自体を変更可能
月間費用上限月間費用は日予算 x 30.4 まで同上
アカウント予算アカウント全体の費用上限を設定可能。上限到達で全広告停止攻撃者が上限を変更・解除可能
異常な予算変更の確認大幅な予算変更時(例: $100→$1,000)に確認ダイアログ表示UI操作のみ。API経由なら確認なし
不審なアクティビティの検知Google が異常を検知すると一時的な日次支出制限を適用「正規権限」の操作は異常と判定されにくい
自動ルール一定額到達でキャンペーンを一時停止するルール設定が可能攻撃者がルール自体を削除可能

セーフガードが無力化される理由

今回の事件の核心は、攻撃者が MCC の正規の管理者権限を取得している点です。

1. 予算上限は管理者が自由に変更できる

アカウント予算や日予算は管理画面・API から変更可能です。管理者権限があれば、上限を引き上げるか「無制限」に設定できます。

2. 自動ルールも削除できる

支出上限でキャンペーンを止めるルールを事前に設定していても、管理者権限でルール自体を削除できます。

3. API 経由の操作は確認が省略される

UI では大幅な予算変更時に確認ダイアログが出ますが、Google Ads API 経由の操作ではこの確認が省略されます。AIツールが API を叩く場合、ガードレールは機能しません。

4. Google の異常検知は「正規操作」を見逃す

Google の不正検知は不正クリックやボット由来のトラフィックに重点を置いています。正規アカウントからの予算変更は「正常な運用」として処理されます。

不足している機能概要
変更不可の支出上限(ハードキャップ)請求先アカウントのオーナーだけが変更できる絶対的な上限。MCC 管理者でも変更不可にする
予算変更の2段階承認一定額以上の予算変更に別アカウントの承認を必須にする
支出速度の異常検知過去の支出パターンから大幅に逸脱した場合に自動停止する
MCC 権限の細分化「広告運用」と「予算管理」の権限を分離し、単一権限で全操作できない設計にする

現状の Google Ads は、MCC の管理者権限を持つ者が「全てを変更できる」設計です。権限が奪われた時点でセーフガードは全て無力化されます。これが「補償は絶望的」と言われる根本的な理由です。

Antigravity の既知の脆弱性

Google が2025年11月にリリースした Antigravity は、Windsurf のコードベースを24億ドルで買収して構築したエージェント型開発プラットフォームです。しかしリリース直後から、セキュリティ研究者によって5つの重大な脆弱性が報告されています。

脆弱性一覧

1. リモートコマンド実行(間接プロンプトインジェクション)

AIがターミナルコマンドを人間の承認なしに自動実行します。攻撃者はプロンプトインジェクションを使ってモデルの拒否を回避し、curl | bash で任意のリモートスクリプトを実行できます。Gemini 3 と Claude Sonnet 4.5 の両方が影響を受けます。

2. 隠しUnicodeタグ命令

Gemini 3 は不可視の Unicode Tag 文字を解釈します。コード内に人間には見えない悪意ある指示を埋め込めるため、コードレビューでは検出できません

3. MCPツールのヒューマンインザループ欠如

MCPサーバーのツールが人間の承認なしに実行されます。隠し命令と組み合わせると、ワークステーション全体の侵害が可能になります。

4. read_url_content によるデータ窃取

.env ファイルなどの機密情報を読み取り、外部URLへ送信できます。プロンプトインジェクション攻撃中に人間の監視なく実行されます。

5. 画像レンダリングによるデータ窃取

Markdown の画像構文が HTML レンダリングを経由して外部リクエストを発生させ、開発者の秘密情報を第三者サーバーに漏洩させます。

これらの脆弱性は Embrace The RedMindgard などのセキュリティ研究チームによって詳細に報告されています。

Claude Code の CVE 事例

Claude Code も過去に複数の脆弱性が報告・修正されています。

CVECVSS内容修正バージョン
CVE-2025-595368.7.mcp.json を悪用したシェルコマンド自動実行。untrusted ディレクトリで起動時に MCP 外部ツールと無承認で連携v1.0.111(2025年10月)
CVE-2026-218525.3ANTHROPIC_BASE_URL を攻撃者エンドポイントに設定し、API キーを窃取v2.0.65(2026年1月)
未登録8.7.claude/settings.json のフックを悪用した任意コード実行v1.0.87(2025年9月)

Check Point は「AI 駆動開発環境では、設定ファイルが実行レイヤーの一部となった。サプライチェーン脅威がコード以上に拡大している」と警告しています。

重要なのは、Anthropic はこれらの脆弱性を迅速に修正している点です。Claude Code はサンドボックスアーキテクチャでファイルシステムとネットワークを隔離し、安全な操作は自動許可、危険な操作はブロック、判断が必要な操作はユーザーに確認する設計を採用しています。しかし、古いバージョンを使い続けている場合やセキュリティ設定を無効化している場合は、これらの脅威にさらされます。

広告特化スキル「Claude Ads」のリスク

今回の事件と同じ時期に話題になった Claude Ads は、Claude Code 向けの広告監査スキルです。Google Ads、Meta Ads など6プラットフォームを190項目で自動監査する便利なツールですが、MCC 乗っ取り事件と同じ攻撃ベクターが当てはまります

詳細は別記事「Claude Ads で広告運用を186項目自動監査」を参照してください。ここではセキュリティ面のリスクを整理します。

curl | bash インストールの危険性

1

curl -fsSL https://raw.githubusercontent.com/AgriciDaniel/claude-ads/main/install.sh | bash

この curl | bash パターンは古典的なセキュリティアンチパターンです。リポジトリが侵害された場合、悪意あるスクリプトがそのまま実行されます。今回の事件で指摘された「配布プロンプトへの悪意ある指示混入」と同一のリスクです。

攻撃経路の一致

MCC 事件の攻撃ベクターClaude Ads での該当リスク
悪意あるWebサイト指示12個のRAGファイルや外部参照経由のプロンプトインジェクション
配布プロンプトへの指示混入SKILL.md やインストールスクリプトの改ざん
MCPツールの悪用6つのサブエージェントが MCP 経由で外部ツールを呼び出す可能性
トークン流出広告プラットフォームの認証情報がコンテキストに露出

導入前に確認すべき点

  • 個人開発者(AgriciDaniel)のリポジトリであり、セキュリティ監査を受けていない
  • MIT ライセンスのため改変・再配布が自由で、フォーク版に悪意あるコードが混入する可能性がある
  • 広告アカウントの認証情報が AI エージェントのコンテキストに入ることの影響を評価する
  • curl | bash ではなく、リポジトリを clone してコードレビュー後にインストールする

Claude Ads のようなドメイン特化スキルは便利ですが、広告アカウントという高価値資産にアクセスするツールである以上、セキュリティレビューなしの導入は今回の被害事例と同じ構図を生みます。

シャドーAI という見えないリスク

今回の事件でもう一つ注目すべきは、シャドーAIの問題です。シャドーAIとは、IT部門の正式な承認や監督がないまま、従業員がAIツールを業務に利用する状態を指します。

IBM の「2025年データ侵害のコストに関する調査」によると、シャドーAI の利用に起因するインシデントを経験した企業は**20%**に上ります。ブラウザさえあれば誰でも高性能なAIを利用できる現在、全面禁止は現実的ではありません。

マクニカの分析では、実践的な対策を3ステップで整理しています。

ステップ目的具体策
発見何が使われているかを知るネットワークログ解析、Webアクセス監視
検出危険度を判定するリスクスコア評価、利用文脈の分析
保護業務を止めずに守るポリシー策定、DLP導入、ガードレール設計

「全面禁止」ではなく「使う前提で守る」設計への転換が求められています。完全禁止は私物端末での「潜行利用」を招き、かえって統制不能に陥るためです。

AIコーディングツール導入前のセキュリティチェックリスト

今回の事件を教訓に、企業がAIコーディングツールを導入する際に確認すべき項目をまとめます。

導入判断

  • ローカルファイルアクセス権限の範囲を確認する。読み取り・書き込みの境界はどこか
  • MCPサーバー/外部ツール連携が自動実行されるか、人間の承認が必要か
  • ネットワークアクセス制御が実装されているか。サンドボックスの有無
  • プロンプトインジェクション対策がどの程度実装されているか
  • 法人向けプランで入力データが学習に使われないことを確認する

運用ルール

  • 利用を許可するツールをホワイトリスト方式で管理する
  • .env、認証トークン、APIキーを扱うディレクトリでの AI ツール実行を禁止する
  • ツールのバージョンを常に最新に保つ自動更新ポリシーを設定する
  • AIツールが生成した設定変更(.mcp.jsonsettings.json 等)をコードレビューの対象にする
  • サードパーティ製スキル・拡張はコードレビュー後にインストールする(curl | bash 禁止)
  • インシデント発生時の対応手順を事前に策定する

人的対策

  • AIツールのセキュリティリスクについて具体的な事例を交えた研修を実施する
  • 外部AIコンサルが導入を提案する場合は、社内セキュリティチームのレビューを必須にする
  • シャドーAIの利用状況を定期的に棚卸しする

まとめ

  • MCC乗っ取り被害は8桁後半: AIコーディングツール経由で広告アカウントが正規権限で操作され、補償は絶望的とされている
  • Google Ads のセーフガードは正規権限に無力: 日予算上限、アカウント予算、自動ルールは全て管理者権限で変更・解除できるため、権限奪取後は全て無力化される
  • Antigravity には5つの重大脆弱性: リモートコマンド実行、隠しUnicode命令、MCPツール無承認実行、データ窃取が報告されている
  • Claude Code も CVE が公開済み: CVSS 8.7 の脆弱性が過去に存在したが、迅速に修正されている
  • 設定ファイルが攻撃面になる時代: .mcp.jsonsettings.json がサプライチェーン脅威の入り口になっている
  • 広告特化スキルも同じリスク: Claude Ads のようなドメイン特化ツールも、広告アカウントにアクセスする以上セキュリティレビューが必須
  • シャドーAI対策は「禁止」ではなく「統制」: 発見・検出・保護の3ステップで業務を止めずに守る設計が必要
  • 外部コンサル任せは危険: AI導入時は社内セキュリティチームのレビューを必須にすべき
  • 基本はホワイトリスト運用: 利用ツールを限定し、最新バージョンの維持とセキュリティ設定の確認を徹底する

参考