Security

Check Point Research が、ChatGPT のコード実行ランタイム（Python Data Analysis 環境）に隠れた外部通信チャネルが存在することを発見しました。この脆弱性を悪用すると、ユーザーの会話内容やアップロードしたファイルが外部サーバーに漏洩する可能性がありました。OpenAI は 2026年2月20日に修正を完了しています。 脆弱性の概要 ChatGPT の Data Analysis 機能（旧 Code Interpreter）は、Python コードを実行するためのサンドボックス環境を提供しています。この環境は外部への直接的なネットワークアクセスを遮断するよう設計されていましたが、DNS 名前解決の機能は通常のオペレーションとして残されていました。 攻撃者はこの DNS 解決機能を悪用し、DNS トンネリングと呼ばれる手法でデータを外部に送信することが可能でした。 DNS トンネリングの仕組み DNS トンネリングとは、DNS クエリのサブドメイン部分にデータをエンコードして埋め込み、DNS の名前解決プロセスを通じてデータを送信する手法です。 1 2 3 4 5 # 通常の DNS クエリ example.com → IPアドレスを返す # DNS トンネリング <エンコードされたデータ>.attacker-controlled.com → 攻撃者のDNSサーバーがデータを受信 ChatGPT のコード実行環境では、DNS 解決が正常なオペレーションの一部として許可されていたため、この通信は外部へのデータ転送として認識されず、ユーザーへの警告も表示されませんでした。 攻撃シナリオ 悪意のあるプロンプトインジェクション 単一のプロンプトで隠れた漏洩チャネルを起動できます。「生産性向上ハック」や「プレミアム機能のアンロック」を謳う一見無害なプロンプトとして流通する可能性がありました。 ...

サプライチェーン攻撃とは、ソフトウェアの開発・配布の過程（サプライチェーン）に侵入し、正規のパッケージやツールに悪意あるコードを混入させる攻撃手法です。開発者が信頼して利用しているライブラリが攻撃の入口になるため、通常のセキュリティ対策では気づきにくいのが特徴です。 2026年3月27日、PyPIで月間74万ダウンロードを誇る通信プラットフォーム Telnyx の公式 Python SDK（telnyx）が、まさにこのサプライチェーン攻撃によって汚染されました。攻撃者グループ TeamPCP が悪意あるバージョン 4.87.1 および 4.87.2 を公開しました。これらは import するだけでマルウェアが実行される極めて危険なものです。 何が起きたのか タイムライン 2026年3月27日 03:51 UTC — 悪意あるバージョン 4.87.1 と 4.87.2 が PyPI に公開 同日 10:13 UTC — PyPI によって当該バージョンが隔離（quarantine） 約6時間にわたり、pip install telnyx を実行したユーザーは悪意あるバージョンをインストールする可能性がありました。 攻撃の仕組み 悪意あるコードは telnyx/_client.py に注入されていました。パッケージを import するだけで自動実行される仕組みです。攻撃は以下の手順で進行します: 初期実行: import telnyx だけでマルウェアコードが発動 ペイロード取得: リモートサーバーから WAV 音声ファイルをダウンロード ステガノグラフィ（データを別のファイルに隠す技術）: WAV ファイルのオーディオフレーム内に実行ファイルが埋め込まれている 環境別の挙動: Windows: 永続的な実行ファイルをドロップ Linux/macOS: クレデンシャル（認証情報）を窃取 WAV ファイル内に実行ファイルを隠すステガノグラフィ手法は、通常のセキュリティスキャンやウイルス対策ソフトでは検出が困難です。音声ファイルという無害に見えるファイル形式を悪用している点が巧妙です。 TeamPCP のサプライチェーン攻撃キャンペーン 今回の telnyx 攻撃は単独の事件ではありません。TeamPCP は2026年3月20日以降、以下のような連鎖的なサプライチェーン攻撃を展開しています: 対象 種別 影響 Trivy セキュリティスキャナー CI/CD クレデンシャルの窃取 Checkmarx (KICS) セキュリティツール 同上 LiteLLM AI/LLM プロキシ 認証情報の窃取 telnyx 通信 API SDK クレデンシャル窃取 + マルウェアドロップ 攻撃パターンは一貫しています: ...

Claude Code で長時間タスクを実行する際、許可プロンプトを回避するために --dangerously-skip-permissions を使っていた開発者は少なくないだろう。しかし、auto mode の登場により、安全性を保ちながら同様の利便性を得られるようになった。この記事では、両者の違いと auto mode への移行方法を解説する。 dangerously-skip-permissions の問題 claude --dangerously-skip-permissions は、すべての権限チェックを無効化するフラグだ。ファイルの書き込み、シェルコマンドの実行、外部通信など、あらゆる操作が無条件で許可される。 このフラグには以下のリスクがある: プロンプトインジェクション: 悪意あるファイルを読み込んだ場合、任意のコマンドが無条件で実行される 意図しない破壊操作: rm -rf のような危険なコマンドもチェックなしで実行される 認証情報の漏洩: .env ファイルの内容を外部に送信するような操作も通過する Anthropic の開発者も不使用: 社内でも使用が推奨されていない 鹿野 壮 氏（@tonkotsuboy_com、Ubie）は当時の状況をこう振り返っている: 「男は黙って claude –dangerously-skip-permissions」。そうやって生きてきたけど、Anthropicの開発者が使ってなかったり、プロジェクトでは禁止されたりで、肩身の狭い日々でした auto mode とは auto mode は、dangerously-skip-permissions に代わる安全な選択肢だ。ツールの実行を自動承認しつつ、バックグラウンドで安全性チェックを行う。 両者の比較 dangerously-skip-permissions auto mode 権限チェック 完全無効 バックグラウンドで実行 安全性 なし セーフガード付き プロンプトインジェクション耐性 なし あり 危険なコマンドの実行 無条件で実行 検出してブロック 公式ステータス 推奨されていない リサーチプレビュー（2026年3月時点） auto mode の設定方法 起動時に指定する 1 claude --permission-mode auto settings.json でデフォルトにする settings.json の permissions に "defaultMode": "auto" を指定すれば、毎回のフラグ指定が不要になる: ...

Claude Code が勝手に git push --force しかけた——そんな冷や汗体験から真剣にセキュリティ設定を見直したという実践的なまとめです。Anthropic の公式ドキュメントにも「セキュリティは自分で設定しろ」と明記されており、AIエージェントに人間と同じ権限を与えるリスクを理解した上で対策を講じる必要があります。 1. サンドボックスを有効にする（そして脱出口を塞ぐ） サンドボックスは Claude Code が実行する Bash コマンドを OS レベルで隔離する機能です。macOS では Seatbelt（macOS 標準のサンドボックス機構）、Linux では Bubble Wrap（軽量コンテナ隔離ツール）が使われます。 現在の状態は /sandbox コマンドで確認できます。設定ファイルで明示的に有効化するには: 1 2 3 4 5 6 { "sandbox": { "enabled": true, "allowUnsandboxedCommands": false } } ポイントは allowUnsandboxedCommands: false です。デフォルトでは allowUnsandboxedCommands: true になっており、サンドボックス制限でコマンドが失敗した場合、Claude がユーザーの許可を得た上で dangerouslyDisableSandbox パラメータ付きでリトライできる仕組みになっています。allowUnsandboxedCommands: false を設定して初めて、この脱出口が完全に塞がります。 ...

AI エージェントが外部ツールやデータソースに安全にアクセスするための標準プロトコル「MCP（Model Context Protocol）」が、OAuth 2.1 ベースの認証・認可フレームワークを導入し、エンタープライズ環境での採用が加速しています。本記事では、MCP の認可仕様の仕組みと、企業導入における設計ポイントを解説します。 MCP とは MCP（Model Context Protocol）は、AI アシスタントがツール、データソース、サービスといった外部リソースに接続するための標準プロトコルです。Anthropic が提唱し、オープンな仕様として公開されています。 MCP を使うことで、AI エージェントは以下のようなことが可能になります： 社内データベースへのクエリ実行 外部 API の呼び出し ファイルシステムの操作 各種 SaaS サービスとの連携 OAuth 2.0 から 2.1 へ：何が変わったのか OAuth 2.1 は OAuth 2.0 の後継仕様であり、これまで個別の RFC やベストプラクティスとして散在していたセキュリティ強化策を統合したものです。MCP がベースとする OAuth 2.1 では、以下の重要な変更が含まれています： 変更点 内容 PKCE 必須化 全クライアント（パブリック・コンフィデンシャル両方）で必須に Implicit フロー廃止 アクセストークンが URL フラグメントに露出するリスクを排除 リフレッシュトークンのローテーション パブリッククライアントでのトークン漏洩時の影響を軽減 リダイレクト URI の厳密一致 ワイルドカードによるオープンリダイレクト攻撃を防止 つまり、OAuth 2.1 は「新機能の追加」というより、OAuth 2.0 時代に発見された攻撃手法への対策を標準に組み込んだものです。 MCP の認可アーキテクチャ MCP の認可仕様では、OAuth 2.1 をベースに、AI エージェント特有の要件に対応した複数の仕組みを組み合わせています。 ...

中国で自律型AIエージェント「OpenClaw」が爆発的に普及し、社会現象になっている。注目すべきは、このテクノロジーの普及に伴って「AIの初期設定代行」という泥臭いビジネスが急成長していることだ。ゴールドラッシュで一番儲かるのは金を掘る人ではなく「ツルハシを売る人」という古典的な法則が、2026年のAI時代にも再現されている。 OpenClawとは何か OpenClawは、オーストリアのプログラマー Peter Steinberger が開発したオープンソースの自律型AIエージェントフレームワークだ。2025年11月に「Clawdbot」の名前で初公開され、2026年1月25日に正式リリースされた。 商用のクラウドベースAIエージェント（Manus AIやDevinなど）とは異なり、完全にローカルで動作する点が特徴だ。データが外部サーバーに送信されないため、企業のセキュリティ要件を満たしやすい。ブラウザ操作、ファイル操作、シェルコマンド実行など、PCの操作を自律的に行い、ユーザーの指示に基づいてタスクを遂行する。 中国での爆発的な普及 2026年春、中国のIT業界でOpenClawの採用が爆発的に進んだ。GitHub上で60日間で25万スターを獲得し、週間ダウンロード数は220万に達した。SecurityScorecardの調査によると、中国でのOpenClaw利用は既にアメリカを上回っている。 中国の大手テック企業も参入している。TencentはWeChat上で動作するOpenClawベースのAIエージェント製品群「ロブスター特殊部隊（龙虾特种兵）」を発表。少なくとも7つの地方政府が数日のうちにOpenClawプロジェクト向けの大型支援策を打ち出し、深圳の龍崗区はコンピューティングクレジットの無償提供や優秀プロジェクトへの報奨金を含む政策を発表した。 OpenClawセットアップ代行ビジネスの台頭 最もインパクトがあるのは、OpenClawの設定代行ビジネスの急成長だ。 北京のエンジニアがOpenClawのインストール支援を副業として開始し、7,000件の注文を処理して約100人規模の会社にまで成長させた。サンフランシスコでは、Mac miniのセットアップとiMessageサポート込みで6,000ドルの訪問インストールサービスが登場し、従業員4人から50人規模の企業をターゲットにしている。 さらに「AIに24時間作業させる専用PC」として、OpenClawセットアップ済みの中古Macの需要も急増している。深圳の中古Mac販売業者 Lee Gong は、OpenClawプリインストール済みのMac miniとMacBookをオンライン販売する初期の事業者の一人で、過去2週間で注文が8倍に増加したと報告している。 「一人会社」という新しい働き方 中国政府は「一人会社（OPC: One Person Company）」というコンセプトを推進している。1人の創業者がAIエージェントを「従業員」として使い、ビジネスを運営するモデルだ。「人間の従業員には休息が必要だが、OpenClawは24時間365日稼働できる」という理屈である。 小規模事業者やフリーランスがリード生成、見込み客調査、ウェブサイト監査、CRM連携などの業務自動化にOpenClawを活用する事例が急速に広がっている。 OpenClawのセキュリティリスク 一方で、急速な普及に伴うセキュリティリスクも深刻だ。具体的には以下のインシデントが報告されている。 WebSocket脆弱性（CVSS 8.8）: オリジン検証の不備により、トークン漏洩やリモートコード実行が可能（2026年3月発見） ClawHavocマルウェア: 2026年1〜2月に確認されたOpenClawを標的とする攻撃キャンペーン Moltbookトークン流出: OpenClawベースのSNSから150万件のAPIトークンが漏洩 中国当局もOpenClawの急拡大に対する注意喚起を行っている。ローカルで動作するとはいえ、AIの「頭脳」はClaudeやChatGPTなどクラウドベースのAIだ。手元のマシンは命令の送受信の中継点に過ぎない。セキュリティ設定を適切に行わないまま業務に使うリスクは大きい。 OpenClaw普及から見えるAIビジネスの法則 「最先端のテクノロジーが普及する時こそ、泥臭い物理的サポートの需要が高くなる」という観察は的を射ている。AI時代のツルハシ売りは、セットアップ代行、専用ハードウェア販売、運用サポートといった形で現れている。 テクノロジーそのものの優劣ではなく、それを「使える状態にする」サービスに価値が集まるという構図は、インターネットの普及期にISPやWeb制作会社が急成長したのと同じパターンだ。OpenClawの事例は、新しいテクノロジーの周辺でビジネスチャンスを見つける視点の重要性を改めて示している。

2026年3月上旬から、GitHub アカウントを侵害して Python リポジトリに悪意あるコードを注入する「ForceMemo」と呼ばれる大規模攻撃キャンペーンが確認されています。force-push によるコミット履歴の書き換えと、Solana ブロックチェーンを利用した C2（Command and Control: 攻撃者がマルウェアに指令を送る仕組み）通信という巧妙な手法が特徴です。 攻撃の概要 ForceMemo は、以下の流れで Python プロジェクトを侵害します: GitHub アカウントの侵害 — GlassWorm と呼ばれる情報窃取マルウェアが VS Code / Cursor 拡張機能から GitHub トークンを抽出 コードの改ざん — 侵害したアカウントで setup.py、main.py、app.py、manage.py 等に難読化されたマルウェアを注入 痕跡の隠蔽 — force-push でコミット履歴を書き換え、タイムスタンプを維持することで改ざんを検知困難に C2 通信 — Solana ブロックチェーンのメモ機能を使ったコマンド＆コントロール通信 GlassWorm による初期侵入 攻撃の起点となる GlassWorm は情報窃取型マルウェアで、VS Code および Cursor の拡張機能を経由して感染します。窃取対象となる GitHub トークンの格納先は多岐にわたります: VS Code / Cursor 拡張機能のストレージ git credential fill の出力 ~/.git-credentials ファイル GITHUB_TOKEN 環境変数 窃取されたトークンを使って正規のアカウントとしてリポジトリにアクセスし、コードを改ざんします。 force-push による履歴改ざん 通常のコミットであれば git log で変更履歴を追跡できますが、ForceMemo は force-push を使ってコミット履歴自体を書き換えます。さらにタイムスタンプも維持するため、リポジトリのメンテナーやユーザーが改ざんに気づきにくい構造になっています。 ...

GNU Inetutils の telnetd デーモンに、CVSS 9.8 の深刻なバッファオーバーフロー脆弱性 CVE-2026-32746 が発見された。1994年から存在していたこのバグは、認証前のリモートコード実行（Pre-Auth RCE）を可能にする。telnetd を公開サーバーで運用している管理者は直ちに対応が必要だ。 脆弱性の概要 項目 内容 CVE ID CVE-2026-32746 CVSS スコア 9.8（Critical） 影響範囲 GNU Inetutils 2.7 以前の全バージョン 脆弱性の種類 BSS ベースのバッファオーバーフロー（境界外書き込み） 攻撃条件 認証不要・リモートから実行可能 発見者 イスラエルのサイバーセキュリティ企業 Dream（技術解析: watchTowr Labs） 報告日 2026年3月11日 技術的な詳細 脆弱な箇所 脆弱性は LINEMODE SLC（Set Local Characters）サブオプションハンドラの add_slc 関数に存在する。telnetd はクライアントから送られた SLC トリプレット（3バイト組）を固定サイズのバッファ slcbuf（0x6C バイト）に格納する。この際、境界チェックを一切行っていない。 1 2 3 4 5 6 7 8 9 // 境界チェックなしでバッファに書き込む脆弱なコード if ((*slcptr++ = (unsigned char) func) == 0xff) *slcptr++ = 0xff; if ((*slcptr++ = (unsigned char) flag) == 0xff) *slcptr++ = 0xff; if ((*slcptr++ = (unsigned char) val) == 0xff) *slcptr++ = 0xff; 攻撃の仕組み Telnet の接続確立時に行われるオプションネゴシエーション（機能交渉）中に、特別に細工されたパケットを送信することで攻撃が成立する。具体的には以下のプロトコルフォーマットを悪用する: ...

Microsoft がオープンソースで公開した Agent Governance Toolkit は、自律型 AI エージェントに欠けていたセキュリティレイヤーを提供するツールキットだ。ポリシー強制、ゼロトラスト ID、実行サンドボックス、信頼性エンジニアリングの4つの柱で、OWASP Agentic Top 10 の全10項目のリスクをカバーする。 背景：なぜ AI エージェントにガバナンスが必要か AI エージェントが自律的にツールを呼び出し、ファイルを操作し、外部 API と通信する時代になった。しかし、その自律性にはリスクが伴う。意図しないゴールの書き換え、過剰な権限の付与、エージェント間通信の改ざん、カスケード障害など、従来の Web アプリケーションとは異なるセキュリティ課題がある。 OWASP は「Agentic Top 10」として AI エージェント特有のリスクを定義しており、Agent Governance Toolkit はこの全10項目に対応している。 4つの柱 1. Policy Engine（ポリシーエンジン） すべてのエージェントアクションを実行前に評価し、許可・拒否を判定する。サブミリ秒（0.1ms 未満）のレイテンシで動作するため、エージェントの応答速度に影響を与えない。 1 2 3 4 5 6 from agent_governance_toolkit import CapabilityModel capabilities = CapabilityModel( allowed_tools=["web_search", "file_read"], denied_tools=["file_write", "shell_exec"] ) 許可するツールと拒否するツールを明示的に定義し、エージェントが意図しない操作を行うことを防ぐ。 ...

GitHub 上で OpenClaw の便利ツールを装った不審なリポジトリが発見され、実際に解析したところマルウェア（シェルコードローダー）であることが判明した。ひよっこサウナ氏（@hiyoko_sauna）による詳細な解析レポートを基に、この攻撃手法の全体像を紹介する。 対象リポジトリの特徴 github.com/sdwadsagw/OpenClawInstaller という、「Open Claw を簡単にインストールできるツール」として公開されていたリポジトリが対象だ。 項目 値 アカウント作成日 2026-02-11（リポジトリと同日作成） Star / Fork 2 / 0 説明文 「AI assistant for Open Claw」 使い捨てアカウント（リポジトリと同日作成）という時点で怪しさ満点だ。 ZIP の中身 Claw-Installer-Open-2.8-alpha.3.zip を展開すると 4 ファイルが入っていた。 ファイル サイズ VT 検出率 説明 StartApp.bat 22 bytes - start luau.exe asm.txt を実行するだけ luau.exe 288,768 bytes 25/76 LuaJIT 2.1.0-beta3（正規バイナリ） lua51.dll 390,144 bytes 1/75 LuaJIT 用ランタイム DLL asm.txt 309,298 bytes 0/76 難読化された Lua スクリプト 注目すべきは asm.txt の検出率が 0/76 という点だ。悪意のあるコードは asm.txt に書かれているのに検出されず、無害な luau.exe の方が検出されるという逆転現象が起きている。 ...