概要 --- 何が起きたのか
Overview2025年末から2026年初にかけて、AIコーディングツールとMCP(Model Context Protocol)サーバーを導入した企業において、Google広告のMCC(マイクライアントセンター)が第三者に乗っ取られる被害が複数報告されています。
被害にあった企業では、外部コンサルタント経由でAIコーディングツール(Claude Code等)とMCPサーバーを導入した後、MCC配下のGoogle広告アカウントに不正な管理者が追加され、広告費が不正に利用されました。被害額は8桁後半(数千万円規模)に達したケースも報告されています。
- AIコーディングツールとMCPサーバーを外部コンサル経由で導入した企業で被害が発生
- Google広告MCCに不正な管理者が追加され、広告費が不正利用された
- 被害額は数千万円規模に達した事例が報告されている
- 媒体側は「正規のAPI操作に見える」として補償が困難との対応
- 2025年末から2026年初にかけて、複数の同様の被害報告あり
特に深刻なのは、不正操作が正規のAPIを通じて行われたため、Google側からは「正規の操作」として扱われ、補償が極めて困難であるという点です。つまり、被害額がそのまま損失として確定するリスクがあります。
報告されている4つの攻撃経路
Attack Vectors複数の被害報告やセキュリティ分析から、以下の4つの攻撃経路が指摘されています。いずれも、AIエージェントが持つ「外部情報の読み取り」「ファイルアクセス」「API操作」といった権限が悪用される構造です。
Webサイト経由のプロンプトインジェクション
AIエージェントがWebページを読み込む際に、ページ内に隠された悪意ある指示を実行してしまう攻撃です。不可視テキスト(白文字・ゼロ幅文字)やHTMLコメントに攻撃コードが埋め込まれ、AIがそれを正規の指示として解釈して実行します。ユーザーには見えない指示がAIに対してのみ有効に機能するため、被害の発見が遅れる傾向があります。
配布プロンプトへの悪意ある指示埋め込み
第三者が配布するプロンプトテンプレートやMCPサーバーの設定ファイルに、機密ファイルの読み取り命令が混入しているケースです。.envファイルやAPIキー・トークン情報が外部サーバーに送信される指示が紛れ込んでおり、利用者が内容を精査せずにそのまま使用することで、認証情報が攻撃者に渡ります。
MCPサーバー経由の権限悪用
過剰な権限を持つMCPサーバーが追加されることで、AIエージェントが本来アクセスすべきでないシステムへの操作権限を取得する経路です。MCPサーバーはAIに対して外部ツールやAPIへのアクセス手段を提供する仕組みですが、権限設計が適切でない場合、ファイルシステムへの広範なアクセスや外部APIへの任意リクエストが可能になります。
認証情報の意図しない流出
ログファイル、設定ファイル、コミット履歴などにトークンやパスワードが残存しており、AIエージェントがそれらを読み取って意図せず外部に送信してしまう経路です。AIエージェントはファイルの内容を「理解」して処理するため、人間が見落としがちな場所に残った認証情報も検出・利用してしまいます。
なぜマーケティングDX担当者に影響があるのか
Impact Analysisこの問題は、エンジニアだけの問題ではありません。マーケティングDX推進の現場でAIツールやAPI連携の導入が加速している今、広告運用の責任者やマーケティング部門のマネージャーにとっても直接的なリスクとなっています。
今すぐ実施すべき対策
Countermeasures被害を防ぐために、以下の6つの対策を速やかに実施することが推奨されています。いずれも高度な技術的知識がなくとも着手可能な項目です。
認証情報の分離と保護
.envファイルやAPIキーが格納されたファイルに対して、AIツールからのアクセスをブロックします。認証情報はシステムキーチェーンや専用のシークレット管理サービスに格納し、コードベースや設定ファイルに平文で保存しないことが基本です。
MCPサーバーの棚卸し
現在インストールされているMCPサーバーの一覧と、各サーバーに付与されている権限を確認します。不要なMCPサーバーは削除し、残すものについても「最小権限の原則」を適用して、必要最低限のアクセス権限のみに制限します。
配布プロンプトの全文確認
外部から取得したプロンプトテンプレート、設定ファイル、MCPサーバーの定義ファイルは、使用前に必ず全文を確認します。特に、外部URLへのリクエストを含む指示や、ファイル読み取りを含む指示がないかを重点的にチェックしてください。
MCC権限の定期監査
Google広告MCCの管理者一覧、ログイン履歴、API操作ログを定期的(少なくとも週次)で確認します。見覚えのない管理者アカウントやAPIアクセスがないかをチェックし、不審なエントリがあれば即座にアクセス権を取り消します。
二段階認証(2FA)の強制適用
Google Workspace全体で多要素認証(MFA)を必須化します。MCC管理者アカウントはもちろん、MCPサーバーやAIツールが利用するサービスアカウントについても、可能な限りMFAを適用してください。
AIツール導入時のセキュリティレビュー
外部コンサルタントやベンダーに任せきりにせず、自社でもAIツールの権限設計を理解した上で導入を判断します。どのツールが何にアクセスできるのか、どのような操作が可能なのかを事前に把握し、文書化しておくことが重要です。
AsetZの見解
Our PerspectiveAIエージェントの導入は業務効率化において大きな可能性を持っています。マーケティングDXの文脈でも、データ分析の自動化、レポート生成、広告運用の最適化など、AI活用が実務に与えるインパクトは日増しに拡大しています。
しかし、今回の事例が示しているのは、セキュリティ設計を後回しにした導入が、取り返しのつかない損害に直結するという事実です。「便利だから入れる」ではなく、「権限設計を理解した上で入れる」。この順序を守ることが、AIツール導入における鉄則です。
マーケティングDXの推進において、セキュリティはコストではなく、事業継続の前提条件です。私たちは、AI活用の推進とセキュリティ設計は両立できるものであり、両立させなければならないと考えています。