Microsoftリポジトリ侵害でClaudeやGemini狙う新マルウェア

6月8日、Joseph Coxが「Microsoft Hacked to Deliver Malware to Claude and Gemini Users」と題した記事を公開した。

Microsoft自身のGitHubリポジトリが侵害され、わずか105秒間で73のリポジトリが無効化されるという異常事態が発生した。この攻撃の最も衝撃的な点は、ClaudeやGeminiなどのAIコーディングツールユーザーを明確に標的としたマルウェアが仕込まれていたことだ。

従来のサイバー攻撃がWebブラウザやメールを標的としていたのに対し、今回は最新のAI開発環境が新たな攻撃ベクターとして狙われた。GitHub の2023年開発者調査によると、開発者の70%以上がAIコーディングツールを業務で使用しており、この高い普及率が攻撃者にとって魅力的な標的となっている。

TeamPCPによる巧妙なサプライチェーン攻撃

今回の攻撃を実行したのはTeamPCPというハッカーグループだ。WIREDの報道によると、TeamPCPは2024年上半期だけで数百の組織に影響を与える大規模なサプライチェーン攻撃を実行している。

彼らは5月にもMicrosoftのdurabletaskパッケージを侵害し、悪意のあるバージョンを3つ公開していた。durabletaskは、Microsoft Azureで長時間実行されるワークフローを管理するためのフレームワークで、多くの企業システムで使用されている。

今回の事態は、Microsoftが以前の侵害後にも十分な保護策を講じていなかったことを示している。実際、これらのリポジトリを使用していたGitHub Actionsは現在機能しなくなっている。

攻撃者が仕込んだマルウェアは、以下のAIコーディングツールでリポジトリを開いた際に認証情報を収集するよう設計されていた：

これは従来のWebブラウザベースの攻撃とは根本的に異なる新しい攻撃手法だ。信頼できるMicrosoftのリポジトリであっても、AI環境では予期しない動作をする可能性があることを、この事件は明確に警告している。

サプライチェーン攻撃は、信頼されているソフトウェアやサービスを侵害し、そのユーザーを標的とする攻撃手法だ。近年、SolarWinds事件などで注目を集めているが、AI開発環境を標的とした事例は今回が初めてとされる。

サイバーセキュリティ研究者の調査とMicrosoftの声明によると、同社は侵害の調査のため、AzureやAIコーディングエージェント関連を含む自社のGitHubリポジトリを大量に閉鎖した。

StepSecurityの研究者によると、6月5日の105秒という短時間で73のMicrosoftリポジトリが無効化された。対象は以下の通りだ：

これほど大量の自社リポジトリを一斉に無効化するのは、Microsoft規模の企業でも極めて異例である。Microsoftは404 Mediaに対し「悪意のあるコンテンツの可能性を調査するため、一部のリポジトリを一時的に削除した」と説明している。

Microsoftのフォーラムでは、リポジトリ閉鎖について議論するスレッドで、あるユーザーが次のように投稿している：

「なぜこのことがどこにも言及されていないのか？」

この声は、Microsoftからの公式な説明が不足していることへの開発者コミュニティの困惑を表している。多くの開発者が依存していたリポジトリが突然使用できなくなったため、プロジェクトの継続に深刻な影響が出ている。

今回の事件を受けて、AI開発ツールを使用する開発者は以下の対策を検討すべきだ：

特に企業環境では、AIコーディングツールの利用ポリシーの見直しが急務となるだろう。信頼できるソースからのコードであっても、AI環境では新たなリスクが存在することを前提とした対策が必要だ。