
AIコーディングアシスタントの利用が広がっています。
AIコーディングアシスタントとは、AI(人工知能)を活用してソフトウェア開発を支援するツールの総称です。
コードの自動生成や補完、デバッグとバグ修正、コードの解説・リファクタリング、ドキュメント・テストコードの作成などをサポートし、エンジニアの作業効率を劇的に向上させます。
こういった悪意のない「AIコーディングアシスタント」が、サイバー攻撃者とそっくりの動きをしてセキュリティシステム(EDR)に攻撃と同様の挙動として検知させている事例がSophosによって報告されています。
いくつかの例を見てみましょう。
- 検知された主な「攻撃的な」挙動
検知されたアラートの大部分は、MITRE ATT&CKフレームワークにおける「資格情報へのアクセス(Credential Access)」と「実行(Execution)」の2つのカテゴリに集中していました。- ブラウザのパスワードの解読:
Claude Codeなどのツールが、GStackと呼ばれるAIスキルパックの「/browse」機能などを使ってWebブラウザの自動操作を行う際、Windowsのデータ保護API(DPAPI)を呼び出してブラウザに保存された資格情報を解読(復号)しようとし、これがEDRの「資格情報窃盗検出ルール」に引っかかりました。 - 資格情報マネージャーのリスト化:
AIが cmdkey.exe /list コマンドを実行し、Windowsに保存されている認証情報の一覧を取得しようとするケースもありました。
- ブラウザのパスワードの解読:
- 攻撃者のように「粘り強く」試行錯誤するAI
AIエージェントの「タスクを完了するまで諦めない性質」が、人間の攻撃者の挙動(Living off the Land = 既にある正規ツールを悪用する手法)に酷似していることが判明しました。- OpenAI Codexの例:
Pythonのインストーラーをダウンロードしようとした際、最初に使ったコマンド(certutil.exe)がセキュリティにブロックされると、その約10分後に別のコマンド(bitsadmin.exe)に切り替えてダウンロードを再試行しました。 - この「ブロックされたら別の手段にピボット(転換)する」という粘り強い動きは、まさに人間のハッカーそのものであり、防御側(EDR)が「アクティブな攻撃者が侵入した」と判断する強力なトリガーになっています。
- OpenAI Codexの例:
- スタートアップへの登録(永続化)
Cursor(AIコードエディタ)がPowerShellを使用して、Windowsの「スタートアップフォルダ」にVBScriptを書き込もうとした事例がブロックされました。
通常、信頼されたインストーラー以外がスタートアップにプログラムを登録する行為は、攻撃者が潜伏するために行う「永続化(Persistence)」の手法であるため、セキュリティエンジンに即座に弾かれています。
Sophosは、AIエージェントの普及によって「これまでは攻撃のシグナルだった挙動」のノイズが増えていると警告しています。
対策として以下を推奨しています。
- ルールの分類と調整:
AIエージェントのプロセス(claude.exe や cursor.exe)が一時フォルダで行う不審なダウンロードなどは、正規のAIの動きとしてルールをチューニング(除外設定など)してノイズを減らす。 - 資格情報へのアクセスは例外なくブロックする:
ただし、ブラウザのパスワード解読や資格情報の窃盗に近い挙動に関しては、「AIがやったから安全」と見過ごしてはならないとしています。AIに過剰な権限を与えないよう、厳しくラインを引くべきだと結論づけています。
開発を効率化するためのAI(特に –dangerously-skip-permissions などの危険なフラグを立てた状態のClaude Codeなど)が、社内ネットワーク上では「まるで暴れ回るハッカー」のように検知されてしまう、というセキュリティ運用上の新しい課題を浮き彫りにしたというニュースでした。
When AI agents look like attackers: what behavioral telemetry tells us
https://www.sophos.com/en-us/blog/2607_agents_vs_telemetry
| この記事をシェア |
|---|