Microsoftソフトウェアパッケージが再び認証情報窃取マルウェアに侵入：73個に自己複製型悪意コード

Microsoftのソフトウェアパッケージエコシステムが、再び大規模なサプライチェーン攻撃に見舞われた。Ars Technicaの報道によると、セキュリティ研究者がMicrosoftの公式ソフトウェアパッケージリポジトリで73個の悪意あるパッケージを発見した。これらのパッケージは、AIエージェントが開いた際に自動実行されるよう設計されており、自己複製型の認証情報窃取マルウェアを展開する。これは、ここ数週間でMicrosoftソフトウェアパッケージが受けた2度目の類似攻撃であり、前回は5月下旬に100個以上のパッケージに類似の悪意コードが仕込まれていた。

攻撃手法：AIエージェントの自動実行特性を悪用

これらの悪意あるパッケージは、正当な開発ツールやライブラリファイルに偽装され、人気のオープンソースプロジェクトに類似した名称を使用しており、典型的なtyposquatting（タイポスクワッティング）技術が用いられている。GitHub Copilot、OpenAIのCode Interpreter、その他の自動コード実行ツールなどのAIエージェントがこれらのパッケージをインストールまたはインポートしようとすると、バックグラウンドで自己複製型の認証情報窃取マルウェアが静かに実行される。このマルウェアは、環境変数、ブラウザに保存されたパスワード、SSH鍵、およびクラウドサービス（AWS、Azureなど）の設定ファイルをスキャンし、窃取したデータを暗号化して攻撃者が制御するC2サーバーに送信することができる。

「これはAI時代のソフトウェアサプライチェーン攻撃の新たなパラダイムだ。かつて攻撃者は人間の開発者を騙して悪意コードをクリックまたは実行させる必要があったが、今やAIエージェントが自動的にこれらの操作を完了するのを待つだけでよい。」 —— セキュリティ研究者Amit Serper

さらに懸念されるのは、これらの悪意あるパッケージが自己複製能力を持っていることだ。一度マシンへの感染に成功すると、ローカルまたは接続されたコードリポジトリ内で新しい悪意あるパッケージのバージョンを作成しようとしたり、他の正当なパッケージを改変して感染チェーンを拡散しようとする。研究者は、一部のパッケージがインストール後に自動的にnpmやPyPIなどの公開リポジトリに偽造パッケージを送信し、クロスプラットフォーム拡散を形成することを発見した。

業界背景：ソフトウェアサプライチェーンセキュリティへの度重なる挑戦

Microsoftソフトウェアパッケージリポジトリ（NuGet Galleryなど）は.NETエコシステムの主要なパッケージソースであり、何千もの企業や開発者に利用されている。近年、パッケージマネージャーを標的としたサプライチェーン攻撃は指数関数的に増加している。2024年、米国政府は「ソフトウェアサプライチェーンセキュリティガイドライン」を発表し、連邦機関に対してオープンソースパッケージに対する厳格なSBOM（ソフトウェア部品表）監査を義務付けた。しかし、AIエージェントの普及は新たな盲点をもたらしている：自動コード生成ツールは依存パッケージのソースに対するセキュリティ検証を欠くことが多く、パッケージマネージャーが返す結果を直接信頼してしまう。これまでのLog4j脆弱性やSolarWinds事件は、汚染された1つのパッケージが技術スタック全体に影響を与えうることを業界に警告してきたが、AIエージェントの意思決定速度により、検出と対応のウィンドウは分単位にまで圧縮されている。

Microsoftは応答の中で、確認されたすべての悪意あるパッケージを取り下げ、パッケージマネージャーのセキュリティスキャンポリシーを更新したと述べたが、より長期的な防御策が必要であることを認めた。同社はセキュリティコミュニティと協力し、パッケージが初めてインストールされる際に異常行動（短時間に複数の機密ファイルへのアクセスやネットワーク接続の試行など）を検出するための、行動分析に基づくモデルを開発している。

編集者注：AI時代の信頼の危機

今回の事件は再び警鐘を鳴らしている：AIエージェントが私たちに代わってコードを書き、依存関係をインストールし、さらには日常的な運用タスクを実行するようになると、「人間の操作」に基づく従来のセキュリティ前提はもはや成立しない。AIエージェントは人間のように未知のパッケージに疑念を抱くことはなく、パッケージのソースの正当性を能動的に確認することもない。攻撃者はこれに気づくと、すぐにAIの自動化能力に矛先を向けた。今後、ソフトウェアパッケージのライフサイクル管理を再設計する必要があるかもしれない：より厳格な署名検証、より細かい粒度の権限制御、さらにはAIエージェントが人間の確認を経ない操作を実行する前に明確な認可を取得することを要求するなど。さもなければ、今日の73個のパッケージへの攻撃が、明日にはエコシステム全体を覆う自動化ワームへと発展しかねない。

本記事はArs Technicaから編訳した