本年9月中旬、いわゆる「s1ngularity攻撃」と呼ばれるソフトウェアサプライチェーンインシデントが発生し、攻撃者によるAI利用において一つの転換点となりました。
初期の侵入経路は見慣れたもので、npmパッケージの管理担当者を標的としたフィッシング攻撃でしたが、その後に展開されたマルウェアは新しいものでした。これは、ローカルのAIエージェントが認証情報の窃取に利用された初の攻撃の1つです。
この手法は、攻撃者の創意工夫が新たな段階へと進んだことを示しており、単純なカスタムスクリプトを超えて、対象マシンに既にインストールされているAIツールの問題解決能力を悪用するものです。
ポストインストール型攻撃の構造
この攻撃では、「nx」などの人気npmパッケージに対して悪意あるアップデートが配布され、最終的に数千件にわたる開発者の認証情報の窃取が発生しました。このマルウェアの中核を担っていたのが、攻撃者によって「telemetry.js」と名付けられたポストインストールスクリプト(ソフトウェアインストール後に自動実行されるスクリプト)でした。
このスクリプトの主な機能は、インストール直後に即座に実行され、感染したマシン上で機密ファイルやシークレットを探索することでした。特に注目すべきは、攻撃者が導入した新しい探索手法です。それは、Claude、Gemini、AWS Qといった人気の大規模言語モデル(LLM)のCLIエージェントがローカルに存在するかどうかを確認するというものでした。
セキュリティ企業Safety Cybersecurityのリサーチ責任者Paul McCarty氏は、これを「Living off the land(環境寄生型)」アプローチの進化形だと評しました。攻撃者は、開発者が業務効率化のためにインストールしている信頼されたツールを悪用するのです。
Living off the Local Prompts™
この悪意あるtelemetry.jsスクリプトは、単にファイルを受動的に探すだけでなく、AIエージェントをプロンプト経由で動作させ、探索作業の大部分を担わせていました。
初期チェック:スクリプトは、サポート対象のAIエージェント(CLIアプリ)がインストールされているか、またどのOSプラットフォーム上か(LinuxとmacOSが主な標的)を検出しました。
プロンプトの実行:マルウェアは、特別に設計されたプロンプトをローカルのAIエージェントを通じて実行しました。このプロンプトの主な目的はファイル列挙であり、ホストのファイルシステム全体を再帰的に検索させ、シークレットを含む可能性のあるファイルのリストを生成させるものでした。
標的とするシークレット:この探索は無作為ではなく、.envファイルや.configファイルなど、「重要度の高いファイル(juicy files)」に焦点を当てていました。こうしたファイルには以下のような機密情報が含まれている可能性があります:
GitHubやnpmのトークン
AWSトークンなどのクラウドプラットフォームの認証情報
SSHキー
AIエージェントは、LLMの広範なトレーニングデータと、対象環境のコンテキスト認識を活かして「どこを探せばよいか」を判断する役割を担っていました。つまり、AIが攻撃者にとっての柔軟な探索ツールとなっていたのです。
AIエージェントは予測不能だがスケールすれば信頼できる
McCartyによるペイロードの解析は、攻撃者の思考プロセスを垣間見せる興味深い内容でした。毒されたnpmパッケージには少なくとも4種類の異なるAIプロンプトバージョンが連続してアップデートされていたことが判明しています。
これは、AIアプリケーションに本質的に備わっている非決定性やガードレール(安全制御)との戦いであり、攻撃者が以下を実現する「最適なプロンプト」を探し求めていたことを示しています:
ガードレールの回避:明らかに悪意のあるリクエストやファイルシステムへのアクセス要求をブロックするセキュリティ機能をバイパスする
最大限の結果:最も包括的かつ重要なファイルパスのリストを出力させる
速度の最適化:不要なソースコードファイルなどを除外して探索範囲を絞り、データ収集を高速化
このような試行錯誤のプロセスは、AIツールにおけるよく知られた欠点を反映しています。ユーザーは、成功に近づくために同じ質問を何度も、さまざまな言い回しで投げかける必要があることが多いのです。また、防御側にとっての新たな課題も浮き彫りになります:AIエージェントがガードレールを常に守る保証はないということです。McCarty自身の検証によれば、AIエージェントは時折「ガードレールを無視し、YOLO(行き当たりばったり)モードに突入する」ことさえあったとされています。
このインシデントは、エージェント型AIが重要な新しい攻撃対象領域(アタックサーフェス)であることを証明しました。開発者のワークステーションに組み込まれたこれらのAIエージェントは、認証情報や機密情報の収集に使われる強力な探索エンジンへと武器化され得るのです。
参考資料
ClaudeやGeminiに対して使われた4つの悪意あるAIプロンプトの詳細な技術解析や、それぞれの成功率に関する分析については、Paul McCarty氏およびSafetyチームによる以下の完全版レポートをぜひご覧ください:「Analysing the AI used in the NX Attack」