eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。リンクからパートナーのサービスをご購入いただいた際に収益が発生する場合があります。 詳細はこちら
Claude Code GitHub Actionsを利用している組織は、研究者がリポジトリの侵害やサプライチェーン攻撃につながる可能性のある脆弱性を発見したことを受け、CI/CD環境を見直す必要があります。
既にパッチが適用されたこれらの欠陥は、攻撃者が権限制御を回避し、信頼されたワークフローに未信頼の入力を注入することを可能にしていました。
「これらの脆弱性により、攻撃者が権限制御を回避し、信頼された入力のみを処理するよう設計されたワークフローに未信頼の入力を送り込むことが可能になります」と、研究者のRyotaK氏は分析の中で述べています。
主なポイント
- AnthropicのClaude Code GitHub Actionsワークフローにおける脆弱性の発見——リポジトリの侵害やソフトウェアサプライチェーン攻撃につながる恐れ
- ワークフローの権限検証ロジックの欠陥により、攻撃者がアクセス制御を回避し、信頼された入力として処理される未信頼コンテンツを送信可能に
- プロンプトインジェクション技術を悪用した機密認証情報(GitHub Actions OIDCトークンを含む)の窃取と、リポジトリへの特権アクセス取得の可能性
- 最も深刻な攻撃シナリオ——Anthropic自身のclaude-code-actionリポジトリへの悪意あるコード注入と、下流ユーザーへの広範な影響
- 最新バージョンへのアップグレードと、ワークフローの権限・シークレット・設定における露出の兆候の確認
攻撃チェーンの詳細
今回の脆弱性は、AnthropicのClaude Code GitHub Actions公式ワークフローに影響を与えていました。このワークフローは、AIによるコーディング支援・Issue管理・リポジトリ自動化をCI/CDパイプラインに統合するためのものです。
このワークフローはソースコード、プルリクエスト、Issue、ワークフローファイル、リポジトリシークレットへのアクセス権を持って動作することが多いため、侵害が成功すれば攻撃者に開発環境への足がかりを与える可能性があります。
ワークフローに付与された権限によっては、脅威アクターがコードを改ざんしたり、機密認証情報にアクセスしたり、CI/CDプロセスを変更したり、接続システムへの広範なアクセスを取得したりする恐れがあります。
研究によれば、最も深刻な攻撃シナリオは、脆弱なワークフローに依存していたAnthropicのclaude-code-actionリポジトリ自体を標的にするものでした。
悪用に成功した場合、攻撃者はアクション自体に悪意あるコードを注入でき、そのソフトウェアに依存する下流リポジトリすべてに影響するソフトウェアサプライチェーンリスクを生み出す可能性がありました。
権限バイパスの仕組み
主な脆弱性は、ワークフローの権限検証ロジックにおける欠陥に起因していました。
Claude Code GitHub Actionsはリポジトリへの書き込み権限または管理権限を持つユーザーのみ実行できるよう設計されていましたが、checkWritePermissions関数は実際の権限に関わらず、あらゆるGitHub Actionを自動的に信頼していました。
その結果、攻撃者は悪意あるGitHub Appを作成し、そのインストールトークンを使ってIssueやプルリクエストを作成することで、ワークフローが誤って信頼された入力として処理してしまう状況を引き起こすことができました。
プロンプトインジェクションとトークン漏洩リスク
ワークフローが攻撃者の制御するコンテンツを処理すると、脅威アクターはプロンプトインジェクション技術を活用してClaude Codeの動作を操作できました。
研究者は、巧妙に細工されたIssueの説明文がAIアシスタントをだまし、機密の環境変数を露出させる承認済みコマンドを実行させられることを実証しました。
特に価値の高い標的はGitHub Actions OpenID Connect(OIDC)認証情報であり、これを悪用することで特権認証トークンの取得やリポジトリ環境内でのアクセス拡大が可能になります。
AnthropicはこれらのCVSSスコアを7.8と評価しており、一部の亜種は公開前にすでに積極的に悪用されていたとしています。
別の発見として、研究者はallowed_non_write_usersに関する設定ミスを特定しており、これを悪用することでGitHubトークンの窃取やワークフローチェーニング攻撃による特権昇格が可能になる恐れがあります。
ソフトウェアサプライチェーンリスクの低減
アップデートの適用にとどまらず、セキュリティチームはワークフローの設定、権限、シークレット管理の実践内容を見直し、悪用される可能性のある潜在的な弱点を特定する必要があります。
- 最新バージョンへのアップグレードと、過剰に許可されたallowed_non_write_users設定を含む脆弱な構成のワークフロー監査
- 最小権限の原則に基づくGitHub Actionsの権限・公開シークレット・OIDCトークンアクセスの制限と、ワークフロー実行に必要な認証情報のみへの絞り込み
- 外部コントリビューターがトリガーするワークフローに対し、シークレット・特権アクション・機密リポジトリリソースへのアクセスを許可する前に手動承認を必須化
- ブランチ保護ルール・必須コードレビュー・署名済みコミットの導入による、未承認コード変更の本番環境への到達リスクの低減
- ワークフローログ・トークンアクティビティ・リポジトリ変更・CI/CD設定の監視による、認証情報漏洩・不正変更・データ窃取の兆候検知
- AIによる開発支援ツールのプロンプトインジェクションリスク評価と、ワークフロー・サードパーティアクション・自動化統合の定期的なセキュリティレビューの実施
- CI/CD侵害・認証情報窃取・ソフトウェアサプライチェーン攻撃シナリオを想定したインシデント対応計画のテストによる、検知・封じ込め・復旧手順の検証
これらの対策を組み合わせることで、ワークフローベースの攻撃への露出を減らしながら、ソフトウェア開発パイプラインのセキュリティを強化できます。
AI開発リスク
Claude Codeの脆弱性は、ソースコード・リポジトリ・CI/CDインフラへのアクセス権を持って動作することの多いAI駆動の開発ワークフローを保護することの重要性を改めて浮き彫りにしています。
プロンプトインジェクション攻撃はチャットボットやAIアシスタントに関連したものとして語られることが多いですが、今回の研究は同様の技術がソフトウェア開発環境と直接やり取りする自動化ツールにも影響を与えうることを示しています。
組織がAIを開発プロセスへ統合し続けるにあたり、セキュリティチームはこれらのツールがどのように認可されているか、どのリソースにアクセスできるか、そして未信頼の入力にどう応答するかを評価する必要があります。
ゼロトラストソリューションは、暗黙の信頼を制限し、アクセスを継続的に検証し、開発環境をセグメント化して潜在的な侵害を封じ込めることで、組織のリスク低減に役立ちます。
