エンドポイントのルールがClaude Code、Cursor、Codexの資格情報アクセスやLOLBin活動を検知

Claude Code、Cursor、OpenAI CodexのようなAIコーディングエージェントは、顧客環境においてますます一般的な存在になりつつあります。コードを書き、依存関係をインストールし、ブラウザ操作を自動化し、試行錯誤を通じて障害のトラブルシューティングを行うといった具合です。

Sophosの行動分析エンジンCIXAがWindows上で収集したテレメトリによると、エンドポイント検知の観点からは、こうした挙動がしばしば攻撃者の手口と見分けがつかない形で現れることが分かっています。

2026年6月の7日間にわたるブロックルールのヒット状況を分析したところ、ユニークマシン数で見ると資格情報アクセス(Credential Access)と実行(Execution)の戦術による検知が大半を占めていました。

またATT&CKに分類されない「Disrupt」というカテゴリーも目立ちました。これはAdaptive Attack Protection(AAP)ルールが、エージェントが実行しようとした低評価の実行ファイルをブロックしたケースを捉えたものです。いずれも悪意あるものではありませんでしたが、すべてSophosLabsのデータ上でグローバル評価スコアが低いファイルでした。

ブロックを伴わない「サイレント」ルールはより広い実態を示しており、回避(evasion)とコマンド&コントロール関連のカテゴリーが目立ちました。これはネットワーク通信、子プロセスの生成、そして攻撃者の挙動と重なるコマンドラインのパターンを反映したものです。

主なトリガーとなったのは、GStackの/browseスキルでした。これはエージェントをChromiumデーモンに接続し、ブラウザ操作の自動化を行うものです。

テレメトリによると、Claude Codeが/browseを呼び出し、PowerShellを使ってDPAPI経由でブラウザデータを復号していました。これは技術的には資格情報窃取マルウェアと同一の挙動ですが、今回の意図は正当な自動化処理でした。

他のケースではPythonが関与していました。ある例では、Claudeがtaskkill.exeでブラウザのプロセスを終了させた後、資格情報ストアにアクセスするスクリプト(decrypt_wp_pass.py)を実行し、続けてcmdkey.exe /listを実行してWindows資格情報マネージャーのエントリをダンプしていました。

注目すべき点として、このClaudeのプロセスには--dangerously-skip-permissionsフラグが含まれていました。これはAnthropic自身のドキュメントが、まさにこうした理由から使用しないよう警告している設定です。

古いルールも新たなトリガーを検知しています。PowerShellの文字列難読化を検知する5年前からのルール「Exec_16a」が、AIが生成するPowerShellによく見られる整形パターンに反応するようになり、誤検知を減らすため最近チューニングが行われました。

さらに顕著だったのは、OpenAI Codexがpython.orgからPythonをダウンロードしようとした際のパターンです。certutil.exe -urlcache -split -fがLateral_1bによってブロックされると、エージェントはbitsadmin.exe /transferに切り替えましたが、これもExec_5aによってブロックされました。

いずれも典型的な環境寄生型バイナリ(LOLBin)を使ったダウンロード手法であり、正当なダウンロード対象であったにもかかわらず、エージェントがこれらの手法を次々と試す粘り強さは、攻撃者による手動操作の挙動を彷彿とさせるものでした。

これとは別に、CursorはPowerShell経由でWindowsのスタートアップフォルダにVBScriptファイルを書き込み、Persist_2aをトリガーしました。このファイルは「EZConvert」というアプリケーションに関連するものでした。

スクリプトの内容を確認する手段がなかったため意図を特定することはできませんでしたが、信頼できるインストーラーの文脈を外れてスタートアップフォルダに書き込みを行うこと自体、本質的に不審な挙動だといえます。

Sophosの研究者は、このテレメトリはAIエージェントが悪意を持っていることを示すものではなく、「通常」の活動の中身が変化する中でも、既存の行動ベースのルールが意図した通りに機能していることを示すものだと述べています。

DPAPIを用いた復号やCredential Managerのダンプといった検知の一部は、誰が、あるいは何がそれを引き起こしたかにかかわらず依然として危険性が高く、エージェントの仕業だからといって単純に抑制すべきではありません。

検知エンジニアリングは今、既知の正当なエージェントのシグネチャと本物の脅威とを、中核的な防御を弱めることなく見分けるというチューニング上の課題に直面しています。

これらのツールを導入する組織にとって、より大きな課題はポリシーです。エージェントがエンドポイント上で何をすることを許されるのか、そしてその境界線をどこで強制すべきなのかを定義する必要があります。

今回のテレメトリはあくまで初期的なシグナルであり、最終的な結論ではありません。エージェント型AIの導入が拡大するにつれ、さらなる監視とチューニングが必要になるでしょう。

翻訳元: https://cyberpress.org/endpoint-rules-claude-code-cursor-codex-lolbin/

ソース: cyberpress.org