この記事のポイント
- Chargebacks911 CTOが、AIエージェント購買における認証・承認の根本的な課題を指摘
- 従来の不正検知が前提とする「人間の行動シグナル」が消失し、新たな詐欺の灰色地帯が出現
- EC事業者は権限管理・意思決定ログ・リアルタイム停止機能の3点を早急に整備すべき
Chargebacks911 CTOがエージェンティックコマースのセキュリティリスクを警告
Donald Kossmann, CTO at Chargebacks911, talks about the emerging security, fraud, and governance risks of agentic commerce.
www.helpnetsecurity.com2026年3月5日、フィンテック企業Chargebacks911のCTO Donald Kossmann氏は、Help Net Securityのインタビューにおいて、AIエージェントが自律的に購買を行う「エージェンティックコマース」が抱えるセキュリティ・不正対策・ガバナンス上のリスクを詳細に解説しました。
Kossmann氏が最も強調したのは「意図のドリフト(intent drift)」という概念です。AIエージェントが技術的には正当な権限のもとで動作していても、ユーザーが実際に意図した結果と乖離する事態が発生し得るという問題です。これは従来の「クレデンシャル窃取」とは全く異なるリスク領域であり、既存の決済・チャージバック管理の枠組みでは対処しきれない灰色地帯を生み出しています。
業界動向
エージェンティックコマースのセキュリティが緊急の課題となった背景には、2026年に入ってからの急速な市場拡大があります。
Visaの調査によると、ダークウェブ上で「AIエージェント」に言及するコミュニティ投稿が過去6カ月で450%以上急増しています。悪意のあるボットによる決済攻撃も増加しており、米国では悪意あるボット起因の取引が40%増加しました。犯罪者はAIエージェントを悪用し、偽のECサイトの構築から決済データの窃取までを自動化しています。
一方、正規のエージェンティックコマースも急拡大しています。Mastercardは「Agent Pay」とエージェンティックトークンを導入し、AIエージェントと個別ユーザーを安全に紐付ける仕組みを構築しました。GoogleのUniversal Commerce Protocol(UCP)やOpenAIのChatGPT内購買機能など、主要プラットフォームが次々とエージェンティックコマース基盤を整備しています。
こうした正規利用と悪用の両方が同時に拡大するなかで、「誰が何の権限で購買を実行しているのか」を正確に識別・管理する仕組みの必要性が、業界全体で認識されるようになっています。
従来の認証モデルが通用しない理由
Kossmann氏は、現在広く使われているOAuth方式の委任認証が、エージェンティックコマースにおいて構造的な限界を抱えていると指摘しています。
OAuthはもともと、ユーザーが明示的に開始する比較的限定的なアクションを想定して設計されました。しかし、AIエージェントは複数の加盟店やサービスにまたがり、長期間にわたって継続的に動作します。ユーザーの意図が変化した後も権限が有効なまま残り、元の同意モデルが想定しなかった形で利用される可能性があります。
この問題への対処として、Kossmann氏は「完全な置き換えではなく進化」が必要だと述べています。具体的には、より細かい粒度での権限設定、取り消し可能な仕組み、コンテキストに応じた動的な権限制御、そしてエージェントの判断過程を追跡できる監査証跡が求められます。
Auth0もこの課題に対応し、MCPプロトコルとOAuth 2.1を組み合わせたエージェント向け認証フレームワークを構築しています。トークン交換によって、長期間有効な人間のトークンをより狭いスコープで短命なトークンに変換し、特定のタスクに限定する設計思想です。
ショッピングエージェントが「高価値の諜報ターゲット」に
Kossmann氏が特に警鐘を鳴らしたのが、ショッピングエージェント自体が攻撃者にとっての情報収集資産になるリスクです。
よく訓練されたショッピングエージェントや調達エージェントには、購買嗜好、価格感応度、サプライヤーとの関係、購入タイミングなど極めてリッチな行動データが蓄積されます。これらのデータが侵害された場合、不正利用にとどまらず、競合他社への情報漏洩やソーシャルエンジニアリング、ターゲット型の操作に悪用される懸念があります。
さらに深刻なのは、エージェント同士が直接やりとりする「エージェント・ツー・エージェント」の取引です。人間が介在する取引では自然に存在する意図・同意・身元確認のチェックポイントが圧縮または消失します。交渉や動的価格設定の過程でやりとりされる限定的なシグナルでも、繰り返し交換されれば、買い手や組織の機微な購買パターンが推測可能になります。
E-Commerce Timesも、AIエージェントによるチェックアウト自動化が「ゼロシグナル不正危機」を引き起こすと報じています。従来の不正検知が依存するデバイスフィンガープリント、セッション追跡、ブラウジングパターンなどの行動シグナルが、AIエージェント経由の取引では消失するか、誤解を招く情報になるためです。
EC事業者への影響と活用法
Kossmann氏が提示した、企業がAIエージェントに調達システムや法人クレジットへのアクセスを許可する前に求めるべき4つの「非交渉事項」は、EC事業者にとっても参考になります。
権限の厳格なスコープと有効期限の設定AIエージェントに無制限の購買権限を与えてはなりません。支出上限、カテゴリ制限、サプライヤー制約、有効期限条件を明示的に設定する必要があります。
意思決定の完全な透明性エージェントがなぜ特定のサプライヤーを選択し、取引を実行したのかを示す詳細なログが不可欠です。この点は、交渉レイヤーへの攻撃(価格シグナルの操作や最適化ロジックの悪用)を検知する上でも重要になります。
リアルタイムの人的介入機能エージェントが予期しない行動を取り始めた場合に、即座に権限を一時停止・取り消しできる仕組みが必要です。
取引後の証跡保全紛争や監査の際に、エージェントに何が許可されていたか、そして実際に何を行ったかを証明できる記録の保持が求められます。
加えて、EC事業者はAIベンダーのセキュリティ体制を評価する際に、従来のベンダーアンケートを超えた「意思決定ガバナンス」に焦点を当てるべきです。エージェント権限のスコープ設定方法、判断のログと説明可能性、権限取り消しの迅速さ、異常行動の検知能力を具体的に確認することが重要になります。
まとめ
AIエージェントによる自律的な購買は、EC業界に大きな効率化をもたらす一方で、セキュリティの前提を根本から覆しています。Kossmann氏が指摘する「アクセスセキュリティから意思決定の整合性(decision integrity)へ」というリスクの重心移動は、全てのEC事業者が理解すべき構造変化です。
今後注目すべきは、Visaの「Trusted Agent Protocol」やMastercardの「Agent Pay」といった業界標準がどこまで浸透するか、そしてGoogleのUCPを含むオープンプロトコルが認証・監査の枠組みをどう統合していくかです。EC事業者にとっては、自社のAIエージェント対応を進めると同時に、権限管理と監査証跡の整備を並行して進めることが、信頼されるコマース体験の基盤となります。
