本インシデントは、攻撃者がレビュー可能なソースコードとは異なるソフトウェアパッケージに悪意あるコードを隠ぺいできることを浮き彫りにしています。
OpenAI Codexのリモートユーザーインターフェースを装った悪意あるnpmパッケージが、開発者の認証トークンを窃取していたことが明らかになりました。攻撃者は、プロジェクトの公開GitHubリポジトリには表示されないコードをnpmに公開していたとされています。
Aikidoの研究者によると、codexui-androidと名付けられたこのパッケージは、正規の機能を提供しているように見せかけながら、認証トークンを収集して外部サーバーに送信していたといいます。
「AIの開発者向けツールは、トークンが強力かつ長期間有効であるという理由から、高価値な標的になりつつあります」とAikidoは述べています。「盗まれたCodexのrefresh_tokenは、チャットインターフェースへのアクセスにとどまりません。そのアカウントが実行できるあらゆる操作への、持続的かつ隠密なアクセスを意味します。」
Aikidoは、今回のインシデントは攻撃者が悪意ある活動の隠れ蓑として信頼性の高い有用なプロジェクトを構築するという、より広範なパターンを反映していると述べています。
「正当性そのものが攻撃ベクターなのです」とAikidoは述べています。「AIツールが普及し、開発者が生産性向上の近道を求めるにつれ、このような事例が増えることが予想されます。」
このケースは、一部のセキュリティ専門家がソフトウェアサプライチェーンセキュリティにおける盲点の拡大と呼ぶ問題を露呈しています。既存の管理策は、ユーザーに最終的に配布されるソフトウェア成果物よりも、ソースコードに重点を置きがちなのが実情です。
サイバーセキュリティアドバイザーで元CISOのSunil Varkey氏は、今回のインシデントが攻撃者による正規プロジェクトを装った悪意ある活動の隠ぺい手法を示していると述べています。「このケースでは、npmパッケージは完全に正規のものに見えました。アクティブなGitHubリポジトリを持ち、OpenAI Codexユーザーに役立つ機能を備え、週約2万7,000件のダウンロードを集めていました」とVarkey氏は述べています。「しかし、機密トークンを盗む悪意あるコードは公開バージョンにのみ存在し、公開されているソースコードには含まれていませんでした。」
Varkey氏は、実行時に悪意あるnpmパッケージを自動的に取得・実行するコンパニオンAndroidアプリの存在により、リスクがさらに拡大していたと指摘しています。
「多くの企業はソースコードに対する優れたセキュリティツールを保有していますが、ビルドおよび配布パイプラインは依然として完全な盲点です」とサイバーセキュリティ研究者のDevashri Datta氏は述べています。「攻撃者が公開GitHubリポジトリを完全にクリーンな状態に保ちながら、npmパッケージに直接マルウェアを注入した場合、標準的なコード監査では何も検出できません。」
Datta氏は、企業はソフトウェアパッケージの出所と、公開された成果物と公開ソースコードの一貫性の両方を検証すべきだと述べています。一見無害に見えるソースコードが、開発者が最終的にインストールするものを正確に反映していない可能性があると警告しています。
企業が直面するリスク
企業にとっての懸念は、パッケージ自体よりも、AIの開発者向けツールに紐付けられたアクセス権限のレベルにあります。
Aikidoによると、このパッケージはアクセストークン、リフレッシュトークン、IDトークン、アカウントIDを窃取しており、リフレッシュトークンは有効期限がないため特に高いリスクをもたらします。IDCアジア太平洋サイバーセキュリティサービス担当シニアリサーチマネージャーのSakshi Grover氏によると、これは一度の窃取が成功するだけで、そのアカウントがアクセスできるすべてのリソースへの持続的かつ隠密なアクセスにつながることを意味するといいます。
Grover氏は、2028年までにアジア太平洋地域(日本を除く)でエージェンティックAIを導入する企業の半数が、継続的な脆弱性スキャン、ライセンスリスク管理、コンプライアンス保証を支援するためのAIソフトウェア部品表(AI BOM)を必要とするようになるとのIDCの予測を挙げました。同氏は、codexui-androidインシデントが、組織がAIツールで使用されるコンポーネントやそのツールがアクセスできる認証情報に対して、より高い可視性を確保する必要性を示していると述べています。
「多くの組織では、AIツールがアクセスできるもの、継承する認証情報、連携する外部サービスについての完全なインベントリがいまだ欠如しています」とGrover氏は付け加えています。「ほとんどの企業は、人間のアイデンティティに適用しているのと同じ最小権限の原則や行動監視の規律をAIツールにはまだ適用できておらず、攻撃者はその非対称性を現在積極的に悪用しています。」
