Beyond the Secret: JWTとマシンアイデンティティの静かなリスク 🤖

2026年のデジタル環境では、境界は単に溶けただけでなく、広大で見えないMachine-to-Machine (M2M)インタラクションのウェブに置き換えられています。組織が”Agentic AI”や超スケールのマイクロサービスに向かう中で、最も重要なセキュリティ脅威はもはや人間がパスワードを入力することではありません。代わりに、自律型AIエージェントやマイクロサービスがJSON Web Token（JWT）を他のサービスに提示することです。

JWTは、そのステートレス性と携帯性から現代の認証の”リンガフランカ”となっていますが、同時に壊滅的な侵害の静かなベクターともなっています。今日、マシンと人間のアイデンティティ比率は驚異の82:1です。ネットワークを操作する人間ユーザー1人に対し、82の自動化エンティティ—コンテナ、スクリプト、IoTデバイス、AIエージェント—が彼らに代わって行動しています。

この記事では、JWT実装の深刻な脆弱性と、AIエージェントが思考・計画・実行できる時代におけるマシンアイデンティティの管理リスクについて掘り下げます。

1. 現代のマシンアイデンティティの解剖

失敗を語る前に、変化を理解する必要があります。従来のアイデンティティ管理は、Multi-Factor Authentication（MFA）や生体認証によるHuman-to-Machine（H2M）インタラクションに焦点を当てていました。しかし、マシンアイデンティティは指紋やSMSコードを持ちません。秘密—APIキー、証明書、そして最も一般的にはJWT—に依存しています。

Agentic AIの台頭

2026年には、単なる”チャットボット”を超えたAgentic AIが登場しています。これらは、大規模言語モデル（LLMs）を用いてタスクを推論する自律システムです。エージェントは次のような決定を下すことがあります：

• マイクロサービス経由でデータベースにアクセス
• サードパーティAPIを使った金融データの処理
• その結果に基づくCRMレコードの更新

これを行うには、”なりすまし”または委任された権限が必要です。この委任はほぼ常にJWTを通じて行われます。もしそのトークンが侵害された場合、”エージェント”は高速の自律的な内部脅威となります。

2. JWTの蜃気楼：なぜ”ステートレス”は両刃の剣か

JWTの最大の魅力は、そのステートレス性です。サーバーはセッションをデータベースに保存する必要がなく、認証に必要な情報はトークン自体に含まれています。

無効化のギャップ

JWTの最大の強みは、その致命的な欠点でもあります：トークンの無効化が不十分なことです。サーバーは中央のセッションストアを確認しないため、JWTは有効期限まで有効です。

リスク： AIエージェントのトークンが盗まれると、攻撃者はexp（有効期限）クレームに達するまで自由に使用できます。

2026年の現実： 高速なマイクロサービス環境では、たった5分のウィンドウでも自動スクリプトがデータベース全体を抜き取るのに十分です。

堅牢な許可リストや拒否リストの仕組み（これにより”ステート”が再導入され、開発者が避けたかったものになります）がなければ、侵害されたマシンアイデンティティの”キルスイッチ”は存在しません。

3. JWT実装の致命的な欠陥

2026年でも、開発者は古典的な暗号の罠に陥り続けています。最近のCVE（例：CVE-2025-4692）では、”戦闘経験豊富”なライブラリでさえ誤設定されることが示されています。

“None”アルゴリズムの脆弱性

JWTヘッダーには、トークンの署名方法を示すalgフィールドがあります（例：HS256、RS256）。仕様では、noneというアルゴリズムも許可されています。

エクスプロイト： 攻撃者はヘッダーを {"alg": "none"} に変更し、署名を削除します。バックエンドが誤って設定されている場合、トークンは”既に検証済み”と受け入れられます。

現代のバリエーション： 多くの2026年システムはnoneをブロックしていますが、攻撃者はnOnEやNoNeのような大文字・小文字のバイパスを使って、初歩的なフィルターをすり抜けます。

アルゴリズムの混乱（RS256 vs. HS256）

これはおそらく最も高度な一般的な欠陥です。

• RS256は非対称鍵ペア（秘密鍵で署名、公開鍵で検証）を使用
• HS256は対称の共有秘密を使用

アルゴリズムの混乱攻撃では、攻撃者はトークンのアルゴリズムをRS256からHS256に変更します。次に、サーバーの公開鍵（多くの場合公開されている）を使ってトークンに署名します。サーバーはHS256を見て、その”秘密”（実際には公開鍵）を使って署名を検証します。計算は合っており、攻撃者は不正アクセスを得ます。

4. 静かな殺し屋：長寿命のサービスアカウントキー

JWTは通常短命（数分または数時間）ですが、それをリクエストするためのサービスアカウントキーは多くの場合永続的です。これらは”秘密”であり、決して眠りません。

古いキーの持続性

マイクロサービスアーキテクチャでは、開発者はしばしばサービスアカウント用のJSONキーを生成し、CI/CDパイプラインにデプロイします。

問題点： これらのキーは環境変数にハードコーディングされたり、誤ってプライベートリポジトリにコミットされたり、ビルドログに残されたりします。

危険性： ユーザーパスワードと違い、これらのキーは期限切れになりません。2024年に生成されたキーは、2026年でも有効なままです。これにより、インフラへの永続的なバックドアとなります。

“過剰権限”エージェント

開発の”容易さ”から、サービスアカウントにはしばしばAdminやOwnerの役割が付与されます。Agentic AIがそのようなサービスアカウントを使うと、その”爆発範囲”は全体に及びます。AIがPrompt Injectionを通じて特定のAPIを呼び出すように仕向けられた場合、過剰権限のサービスアカウントの全権を行使します。

5. Agentic AI：JWTリスクの新たなフロンティア

2026年には、”アイデンティティサーフェス”の概念が拡大しています。AIエージェントはもはや単なるツールではなく、ネットワークの仲間です。

Prompt-to-Tokenのエクスプロイト

攻撃者はコード攻撃から、エージェントの推論そのものへの攻撃に移行しています。Retrieval-Augmented Generation（RAG）を用いて、エージェントが読むデータを毒物化し、エージェントに”デバッグ目的”で自身のJWTを外部の”ロギングサービス”（攻撃者が管理）に送るように仕向けることが可能です。

エージェント間通信

マルチエージェントシステムでは、エージェント同士が通信します。エージェントA（低セキュリティ）がエージェントB（高セキュリティ）にリクエストを渡す場合、エージェントBはエージェントAが認証されたものであることを確認しなければなりません。

罠： エージェントBが”キャッシュ”された資格情報や継承されたスコープに依存し、元のリクエストの意図を再検証しない場合、”Confused Deputy”問題がマシンの速度で発生します。

6. 境界線の強化：2026年のベストプラクティス

マシンアイデンティティの保護には、静的秘密からアイデンティティベースの一時的なセキュリティへ移行する必要があります。

1. 短命・エフェメラルなトークンの採用

サービスアカウントキーの使用をやめましょう。代わりにWorkload Identityを使用します。

Google Cloud/AWS/Azure: ネイティブのワークロードアイデンティティフェデレーションを利用し、短命のプラットフォームトークンをサービス固有のJWTに交換します。

結果： トークンが盗まれても、30分で期限切れとなり、GitHubリポジトリから”マスターキー”を盗むことはできません。

2. SPIFFE/SPIREの導入

Secure Production Identity Framework for Everyone（SPIFFE）は、サービス間の共有秘密なしにアイデンティティを識別する方法を提供します。短命のSVID（SPIFFE Verifiable Identity Documents）を発行し、自動的にローテーションします。

3. アルゴリズムホワイトリストの厳格化

JWTヘッダーに依存してセキュリティを判断しないでください。

// 悪い例：ヘッダーを信用する
jwt.verify(token, secret);

// 良い例：アルゴリズムを強制
jwt.verify(token, publicKey, { algorithms: ['RS256'] });

4. 継続的な無効化チェック

高価値のトランザクションには、JWT Assertion Grantsや集中型のアイデンティティ脅威検出・対応（ITDR）システムを利用してください。これにより、特定のjti（JWT ID）が疑わしいとフラグ付けされたかどうかを事前に確認できます。

7. 機械と人間のアイデンティティの比較分析

特徴	人間のアイデンティティ (H2M)	マシンアイデンティティ (M2M/Agentic)
認証	パスワード、MFA、生体認証	キー、証明書、JWT
ボリューム	少数（数千）	膨大（数百万）
速度	人間の速度（秒/分）	マシンの速度（ミリ秒）
ライフサイクル	HR/IAM管理	DevOps/AIオーケストレーター管理
無効化	容易（アカウント停止）	難しい（ステートレストークン）
リスク	アカウント乗っ取り	インフラ全体の横展開

結論：”ゼロスタンディング・プリビレッジ”の時代

Agentic AIの時代に深く進むにつれ、旧来の”Secret”モデルは終わりです。静的な文字列で誰—または何—がAPIを呼び出しているかを証明できなくなっています。JWTのリスクは技術に内在するものではなく、その実装に対する私たちの自己満足にあります。

2026年には、最も安全な組織は、すべてのマシンの行動を一意の時間制限付きイベントとして扱います。Zero Standing Privileges（ZSP）を徹底し、一時的でアイデンティティベースの認証に移行することで、”Beyond the Secret”を実現できます。

次世代のAI脅威に対する”キルスイッチ”は電源コードではなく、ミリ秒単位でマシンアイデンティティを取り消す能力です。