TokyoBlackHatNews

gbhackers.com 4分で読了

Claude Code GitHub Actionsの脆弱性、リポジトリの完全侵害リスクを露呈

AnthropicのClaude Code GitHub Actionsワークフローに深刻なサプライチェーン脆弱性が発見されました。この脆弱性により、悪意ある単一のGitHub Issueを通じて、数千ものリポジトリが完全侵害の危険にさらされていたことが明らかになっています。

GMO Flat SecurityのセキュリティリサーチャーであるRyota K氏は、Claude Codeインテグレーションに複数の欠陥を発見しました。これらの欠陥を悪用することで、攻撃者は権限制御を回避し、自動化されたCI/CDワークフローに信頼されていない入力を注入できることが判明しました。この脆弱性は、Issueトリアージ・コードレビュー・自動化処理などにClaude Codeを活用しているリポジトリに影響を与えていました。

Claude Code GitHub Actionsの脆弱性詳細

問題の核心は、権限検証メカニズムの欠陥にあります。このワークフローは、あらゆるGitHub App(ボットアカウント)が標準の書き込み権限チェックを回避できる関数に依存していました。

Image

GitHub Appは明示的なインストールなしにパブリックリポジトリと対話できるため、攻撃者は悪意あるアプリを作成し、標的リポジトリにIssueやプルリクエストを開くことが可能でした。

この仕組みにより、攻撃者は細工した入力を使ってClaude Codeワークフローをトリガーし、信頼されたコントリビューターのみに実行を制限するセキュリティ制限を事実上回避できていました。

ワークフローが起動されると、攻撃者が制御するコンテンツが処理されます。プロンプトインジェクション技術を活用することで、攻撃者はClaude Codeに意図しないコマンドを実行させることが可能でした。実証された攻撃シナリオでは、GitHub Issueに埋め込まれた悪意あるペイロードにより、認証トークンを含む機密性の高い環境変数がランタイムから読み取られてしまいました。

特に深刻な影響として、OpenID Connect(OIDC)トークンリクエスト認証情報の漏洩が挙げられます。GitHub ActionsはこのトークンをワークフローのAuthentication及びGitHub Appのインストールトークン生成に使用しています。これらの認証情報が外部に持ち出されると、攻撃者は認証フローを再現し、リポジトリ全体への書き込み権限を持つ特権アクセストークンを取得できます。

Image

このレベルのアクセス権を得た攻撃者は、ソースコードの改ざん・ワークフローの変更・プルリクエストへの干渉・下流プロジェクトへの悪意あるコードの注入が可能となり、大規模なサプライチェーン攻撃につながる恐れがあります。

安全でないデフォルト設定も被害を拡大させた要因の一つです。広く使われている「allowed_non_write_users: *」という設定は、外部の任意ユーザーがワークフローをトリガーすることを許可してしまいます。「issues: write」などの過剰な権限やGITHUB_TOKENなどのシークレットへのアクセスと組み合わさることで、この設定ミスは攻撃者による特権昇格と信頼されたワークフローの悪用を可能にしていました。

研究者らはさらに、連鎖的な攻撃手法も実証しています。このシナリオでは、攻撃者がまず設定ミスのあるワークフローを通じて限定的なアクセス権を取得し、その後信頼されたユーザーが作成したIssueを改ざんします。そして特権ワークフローが後からトリガーされた際に、注入されたペイロードが昇格した権限で実行され、リポジトリの完全侵害に至ります。

注目すべき点として、この脆弱性はClaude Code GitHub Actions プロジェクト自体を含むAnthropicのリポジトリにも影響が及んでいました。攻撃が成功した場合、脅威アクターはこのActionに悪意ある更新を注入し、すべての下流ユーザーに影響を与えることができたと考えられます。

Anthropicはバージョン1.0.94でこれらの脆弱性に対処しました。修正内容には、GitHub Appによるデフォルトのワークフロートリガーのブロック・安全でない設定の制限・パブリックなワークフローサマリーの無効化・コマンド実行の検証強化が含まれています。また、コマンドラインツールを介したデータ外部持ち出しを防ぐための追加的な保護措置も導入されました。

今回の脆弱性にはCVSSスコア7.8が割り当てられており、開示前にすでに実際の攻撃での悪用が確認されていたと報告されています。

セキュリティ専門家は、組織に対してGitHub Actionsワークフローの監査・危険な設定の除去・トークン権限の制限・信頼されていない入力へのシークレット露出の回避を推奨しています。今回のインシデントは、AIを活用した自動化に伴うリスクの増大を浮き彫りにするものであり、プロンプトインジェクションが依然として解決されていない重大なセキュリティ課題であることを改めて示しています。

開発パイプラインへのAIインテグレーションが一般化する中、ワークフローの境界を保護し厳格な入力検証を徹底することが、同様のサプライチェーン侵害を防ぐ上で不可欠となっています。

翻訳元: https://gbhackers.com/claude-code-github-actions-flaw/

ソース: gbhackers.com
#Anthropic #CI/CD #Claude Code #GitHub Actions #OIDCトークン #サプライチェーン攻撃 #セキュリティ設定ミス #プロンプトインジェクション #権限昇格 #脆弱性

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚