WebArena 攻撃 — ブラウザ操作AIエージェントの攻撃面

admin · 2026年5月14日 · 6 min read

WebArena Attacks — Browser-Operating Agent Threats — Photo: luis gomes (Pexels)

ブラウザを「手」として使うAIエージェントは、Webページに埋め込まれた悪意ある指示を「タスク」と誤認し、ユーザーの操作権限ごと乗っ取られる。WebArenaベンチマークが明らかにしたのは、この攻撃面が実環境でも再現性の高い脅威として成立するという事実だ。

背景

WebArena（webarena.dev）は2023年に公開されたブラウザ操作AIエージェント評価ベンチマークで、GitLab・Reddit・ショッピングサイト等の模擬環境で自律エージェントの達成率を測定する。2024年以降、Anthropic Computer Use・Claude in Chrome・OpenAI Operatorといった商用エージェントが相次いでリリースされ、WebArena型の現実タスク実行が製品機能として展開されるようになった。同時に研究者らは、WebArena環境およびそれに類した実Web環境でDOMインジェクションやスクリーン外テキストによる指示奪取が成立することを実証し、エージェント固有の攻撃面として「間接プロンプトインジェクション（Indirect Prompt Injection）」の問題が浮上した。攻撃の発端はサードパーティが管理するWebページであるため、ブラウザの拡張機能セキュリティや従来のXSSとは異なる対策軸が必要になる。

リスクの全体像

脅威モデルは三層に整理できる。①DOMインジェクション：攻撃者が管理するページのHTML/JavaScriptに隠しテキストや非表示要素でエージェント向け命令を埋め込み、エージェントがDOMをスクレイピングした時点で「フォームをsubmitせよ」「パスワードを別サイトへ送信せよ」等の指示を実行させる。②画面外指示注入（Off-screen Injection）：Claude in ChromeやComputer Useのようにスクリーンショットを入力とするエージェントに対し、CSSで画面外に追いやった白文字テキストや1px要素に命令を記述し、ビジョンモデルが拾い上げるケース。③悪意あるサイトからの操作奪取：エージェントが正規タスク遂行中にリダイレクトや広告フレームで攻撃サイトへ誘導され、セッションCookieや認証トークンを外部送信させられる。WebArena実験では達成率向上を狙ったエージェントほど積極的にDOMを解釈するため、攻撃成功率も上がる逆説が観測されている。

チェックリスト

Anthropic Computer Use・Claude in Chrome・OpenAI Operatorをサンドボックス外のブラウザプロファイル（本番Cookieや社内SSOセッションを持つ環境）で実行していないか確認する
エージェントが処理するページのDOMに非表示要素（display:none、opacity:0、画面外position）が存在する場合、その内容がLLMプロンプトに流れ込む経路を特定し遮断ルールを設けているか
Computer Useエージェントへの指示ログ（スクリーンショット＋生成アクション）を人間がレビューできる監査ログとして保存しているか
エージェントが実行できるブラウザアクション（フォームsubmit・ファイルダウンロード・外部URLへのデータ送信）を最小権限でホワイトリスト制限しているか
WebArena型タスク（「このサイトで〇〇を購入して」等）を社員が業務で指示する際、対象URLがエージェント利用ポリシー上の承認済みドメインリストに含まれるかをチェックするフローがあるか

打ち手

優先度①：エージェント実行環境の分離。本番認証情報を持つブラウザプロファイルとエージェント専用プロファイルを完全分離し、セッション横断リスクを構造的に排除する。優先度②：DOMテキスト取得フィルタの導入。Computer Use・Claude in Chrome等がDOMを読み取る前段に、非表示要素・極小フォントを除去するサニタイズ層を挟む。優先度③：アクション承認ゲートの設置。フォームsubmitや外部送信を含む操作は人間の確認ステップを必須とし、全自動実行をデフォルト無効にする。

エージェントの「賢さ」は、攻撃者の命令にも等しく働く。

Omamori AI の結論

事実: WebArenaおよび類似の実験環境において、DOMインジェクション・画面外指示注入・悪意あるサイトへの誘導という三経路で、ブラウザ操作AIエージェントの制御奪取が実証されている。Anthropic Computer Use・Claude in Chrome・OpenAI Operatorはいずれも同様の攻撃面を持つ。
判断軸: エージェントに付与されているブラウザ権限（セッション・認証情報・送信先）が業務上の最小範囲に限定されているかを起点に、導入可否・利用範囲を判断する。「何ができるか」より「何をさせないか」の設計が評価軸となる。
打ち手: 短期はエージェント専用ブラウザプロファイルの分離と承認ゲートの義務化。中期はDOMサニタイズ層の実装と監査ログ体制の整備。中長期はエージェント利用ポリシー（承認済みドメインリスト・アクション種別制限）の規程化と定期レビューサイクルの確立。

経営者視点で考えるべきこと

ブラウザ操作AIエージェントの業務導入は生産性向上のROIが先行して語られるが、エージェントが保有する認証権限は従業員の業務権限と等価であり、乗っ取られた場合の影響範囲は人間の操作ミスを超える。WebArenaが示す攻撃パターンは外部の悪意あるサイト経由で発動するため、自社のセキュリティ統制だけでは遮断しきれない性質を持つ。善管注意義務の観点では、既知の攻撃経路に対して合理的な技術的・手続き的統制を講じていない状態でのエージェント全社展開は、事後の法的責任リスクを高める。ステークホルダーへの影響としては、顧客情報・取引データをエージェントが処理する業務フローで情報漏洩が発生した場合、個人情報保護法上の報告義務と信頼毀損が同時に生じる。導入判断に際しては、生産性ROIと並行してリスク受容基準・統制コストを取締役会レベルで合意し、議事録に残しておくことが事業継続性の観点からも重要である。