概要 ユーザー入力を指示として実行する設計の脆弱性。検索入力やファイル内容に「今後の指示を無視して○○をしろ」と埋め込まれる。エージェント普及で更に深刻化。 対策 CLAUDE.md のルール記述は「お願い」に過ぎず、プロンプトインジェクションで回避可能 実効的防御はシステムレベルの制約(サンドボックス、deny ルール、PreToolUse フック) devcontainer での完全隔離が最も堅牢 関連ページ AI エージェント — 攻撃対象となるシステム Claude Code — セキュリティ機能の実装 ソース記事 Vibe Hacking — 2026-03 Claude Code セキュリティシアター — 2026-03
Check Point Research が、ChatGPT のコード実行ランタイム(Python Data Analysis 環境)に隠れた外部通信チャネルが存在することを発見しました。この脆弱性を悪用すると、ユーザーの会話内容やアップロードしたファイルが外部サーバーに漏洩する可能性がありました。OpenAI は 2026年2月20日に修正を完了しています。 脆弱性の概要 ChatGPT の Data Analysis 機能(旧 Code Interpreter)は、Python コードを実行するためのサンドボックス環境を提供しています。この環境は外部への直接的なネットワークアクセスを遮断するよう設計されていましたが、DNS 名前解決の機能は通常のオペレーションとして残されていました。 攻撃者はこの DNS 解決機能を悪用し、DNS トンネリングと呼ばれる手法でデータを外部に送信することが可能でした。 DNS トンネリングの仕組み DNS トンネリングとは、DNS クエリのサブドメイン部分にデータをエンコードして埋め込み、DNS の名前解決プロセスを通じてデータを送信する手法です。 1 2 3 4 5 # 通常の DNS クエリ example.com → IPアドレスを返す # DNS トンネリング <エンコードされたデータ>.attacker-controlled.com → 攻撃者のDNSサーバーがデータを受信 ChatGPT のコード実行環境では、DNS 解決が正常なオペレーションの一部として許可されていたため、この通信は外部へのデータ転送として認識されず、ユーザーへの警告も表示されませんでした。 攻撃シナリオ 悪意のあるプロンプトインジェクション 単一のプロンプトで隠れた漏洩チャネルを起動できます。「生産性向上ハック」や「プレミアム機能のアンロック」を謳う一見無害なプロンプトとして流通する可能性がありました。 ...
Palo Alto Networks の EDR(Endpoint Detection and Response: エンドポイント検知・対応)製品「Cortex XDR」のエージェントに、重大な欠陥が発見された。振る舞い検知(BIOC: Behavioral Indicators of Compromise)ルールを解読し、検知を完全に回避できるというものだ。InfoGuard Labs の研究者 Manuel Feifel らが発見し、2025年7月に報告、2026年2月末に修正がリリースされた。Cortex XDR エージェント v8.7/8.8 を利用する組織は、修正済みの v9.1 へのアップデートが必要となる。 発見の経緯 InfoGuard Labs の研究チームは、Cortex XDR Windows エージェント(バージョン 8.7 および 8.8)の内部構造を調査した。カーネルデバッグツールを使用してエージェント内部の暗号化ルールの復号プロセスを追跡し、以下を特定した。 復号キーがエージェントのファイル内にハードコードされた文字列から導出されていた 平文の Lua 設定ファイルと組み合わせてキーが生成されていた 暗号化には AES-256-CBC が使用されていたが、全環境で同一の鍵が導出されるため、一度手法を解明すれば任意の環境で再現可能だった グローバル許可リストの問題 復号された BIOC ルールを解析した結果、検知ロジックにハードコードされた「グローバル許可リスト」の存在が明らかになった。 特に深刻だったのは \Windows\ccmcache という文字列の扱いだ。プロセスのコマンドラインにこの文字列が含まれるだけで、そのプロセスは監視対象から除外される仕組みになっていた。この条件により、BIOC ルール全体の約半数の振る舞い検知ルールを無効化できることが確認された。 ccmcache は Microsoft SCCM(System Center Configuration Manager)がソフトウェア配布時に使用するキャッシュディレクトリだ。正規のシステム管理ツールによるプロセスを誤検知しないための除外条件だったと考えられるが、その適用範囲が過度に広範だった。 実証された攻撃シナリオ 研究者は Sysinternals の ProcDump ツールに \Windows\ccmcache 文字列を引数として付加し、LSASS(Local Security Authority Subsystem Service)メモリのダンプ取得を無検知で実行できることを実証した。 LSASS メモリダンプは認証情報窃取の典型的な手法であり、Mimikatz などのツールによるクレデンシャルハーベスティング(認証情報の大量収集)に直結する。EDR がこの操作を検知できないことは、実運用環境において極めて深刻な影響をもたらす。 ...