サイバーセキュリティ研究者は、Wondershare RepairItにおいて、ユーザーのプライベートデータが漏洩し、さらに人工知能(AI)モデルの改ざんやサプライチェーンリスクにシステムがさらされる2つのセキュリティ脆弱性を公開しました。
Trend Microによって発見された、問題となる重大な脆弱性は以下の通りです。
- CVE-2025-10643(CVSSスコア: 9.1)- ストレージアカウントトークンに付与された権限内に存在する認証バイパスの脆弱性
- CVE-2025-10644(CVSSスコア: 9.4)- SASトークンに付与された権限内に存在する認証バイパスの脆弱性
これら2つの脆弱性を悪用されると、攻撃者はシステムの認証保護を回避し、サプライチェーン攻撃を仕掛けることができ、最終的には顧客のエンドポイントで任意のコードを実行される恐れがあります。
Trend Microの研究者Alfredo Oliveira氏とDavid Fiser氏は、AIを活用したデータ修復および写真編集アプリケーションが「プライバシーポリシーに反してデータを収集・保存し、さらに開発・セキュリティ・運用(DevSecOps)の弱さにより、意図せずプライベートなユーザーデータを漏洩させていた」と述べています。
不適切な開発慣行には、アプリケーションのコード内に過度に許可されたクラウドアクセス用トークンを直接埋め込むことが含まれており、これにより機密性の高いクラウドストレージへの読み書きアクセスが可能となっていました。さらに、データは暗号化されずに保存されていたため、ユーザーがアップロードした画像や動画の悪用が広がる可能性がありました。
さらに悪いことに、漏洩したクラウドストレージにはユーザーデータだけでなく、AIモデル、Wondershareが開発したさまざまな製品のソフトウェアバイナリ、コンテナイメージ、スクリプト、企業のソースコードも含まれており、攻撃者がAIモデルや実行ファイルを改ざんし、下流の顧客を狙ったサプライチェーン攻撃の道を開くことができます。
「バイナリは安全でないクラウドストレージからAIモデルを自動的に取得・実行するため、攻撃者はこれらのモデルや設定を改ざんして、ユーザーが気づかないうちに感染させることができます」と研究者は述べています。「このような攻撃は、ベンダー署名付きのソフトウェアアップデートやAIモデルのダウンロードを通じて、正規ユーザーに悪意のあるペイロードを配布する可能性があります。」
顧客データの漏洩やAIモデルの改ざんにとどまらず、これらの問題は知的財産の窃盗や規制違反による罰則、消費者の信頼喪失など、重大な結果をもたらす可能性もあります。
サイバーセキュリティ企業は、2025年4月にZero Day Initiative(ZDI)を通じて2つの問題を責任を持って開示したと述べていますが、繰り返し連絡を試みたにもかかわらず、ベンダーからの返答はまだ得られていません。修正がない現状では、ユーザーは「本製品とのやり取りを制限する」ことが推奨されています。
「絶え間ないイノベーションの必要性が、組織に新機能を市場に急いで投入させ、競争力を維持させますが、これらの新機能がどのように使われるか、将来的にその機能性がどう変化するかを予見できない場合があります」とTrend Microは述べています。
「これが、重要なセキュリティ上の影響が見落とされる理由です。そのため、CD/CIパイプラインを含む組織全体で強固なセキュリティプロセスを導入することが極めて重要です。」
AIとセキュリティの両立の必要性#
この動きは、Trend Microが以前、Model Context Protocol(MCP)サーバーを認証なしで公開したり、MCPの設定などの機密認証情報を平文で保存したりすることに警鐘を鳴らしていたことを受けたものです。これらは脅威アクターによるクラウドリソースやデータベースへのアクセス、悪意のあるコードの注入に悪用される可能性があります。
「各MCPサーバーは、そのデータソース(データベース、クラウドサービス、内部API、プロジェクト管理システムなど)への開かれた扉となります」と研究者は述べています。「認証がなければ、営業秘密や顧客記録などの機密データが誰でもアクセス可能となります。」
2024年12月には、同社が公開されたコンテナレジストリが悪用され、不正アクセスを受けてターゲットのDockerイメージを取得し、その中のAIモデルを抽出・改ざんし、改ざんされたイメージを再び公開レジストリにプッシュできることを発見しました。
「改ざんされたモデルは通常の条件下では正常に動作し、特定の入力がトリガーされたときだけ悪意ある変更を示します」とTrend Microは述べています。「このため、この攻撃は基本的なテストやセキュリティチェックを回避できるため、特に危険です。」
MCPサーバーによるサプライチェーンリスクはKasperskyも指摘しており、信頼できないソースからインストールされたMCPサーバーがAI搭載の生産性ツールを装い、偵察やデータ流出活動を隠蔽できることを示す概念実証(PoC)エクスプロイトを開発しました。
「MCPサーバーをインストールすることは、ユーザーの権限でそのマシン上でコードを実行する許可を与えることと同じです」とセキュリティ研究者Mohamed Ghobashy氏は述べています。「サンドボックス化されていない限り、サードパーティのコードはユーザーがアクセスできるファイルを読み取ったり、他のプログラムと同様に外部ネットワーク通信を行うことができます。」
これらの調査結果は、エンタープライズ環境でMCPやAIツールがエージェント機能を実現するために急速に導入されているものの、明確なポリシーやセキュリティガードレールがない場合、全く新しい攻撃ベクトル(ツールポイズニング、ラグプル、シャドーイング、プロンプトインジェクション、不正な権限昇格など)を開く可能性があることを示しています。
先週発表されたレポートで、Palo Alto Networks Unit 42は、AIコードアシスタントがAIモデルの知識ギャップを埋めるために利用するコンテキスト添付機能が間接的なプロンプトインジェクションに脆弱であることを明らかにしました。攻撃者が外部データソースに有害なプロンプトを埋め込み、大規模言語モデル(LLM)に意図しない動作を引き起こす可能性があります。
間接的なプロンプトインジェクションは、アシスタントがユーザーによる指示と、攻撃者が外部データソースに密かに埋め込んだ指示を区別できないことに依存しています。
そのため、ユーザーが攻撃者によってすでに汚染されたサードパーティデータ(例:ファイル、リポジトリ、URLなど)をコーディングアシスタントに誤って提供した場合、隠された悪意のあるプロンプトがツールを騙してバックドアを実行させたり、既存のコードベースに任意のコードを注入したり、機密情報を漏洩させたりする可能性があります。
「プロンプトにこのコンテキストを追加することで、コードアシスタントはより正確かつ具体的な出力を提供できます」とUnit 42の研究者Osher Jacob氏は述べています。「しかし、この機能は、ユーザーが脅威アクターに汚染されたコンテキストソースを意図せず提供した場合、間接的なプロンプトインジェクション攻撃の機会を生み出す可能性もあります。」
AIコードエージェントは、「lies-in-the-loop(LitL)」攻撃と呼ばれる手法にも脆弱であることが判明しています。これは、LLMに与えられた指示が実際よりも安全であると信じ込ませ、高リスクな操作時に設けられたhuman-in-the-loop(HitL)防御を実質的に無効化することを目的としています。
「LitLは人間とエージェントの間の信頼を悪用します」とCheckmarxの研究者Ori Ron氏は述べています。「結局のところ、人間はエージェントが提示する内容にしか対応できず、エージェントがユーザーに提示する内容は与えられたコンテキストから推論されます。GitHubのイシューのようなもので命令的かつ明示的な言葉を使えば、エージェントを騙すのは簡単です。」
「そしてエージェントは、プロンプトが防ごうとしている悪意のある行為を隠したまま、ユーザーにその嘘を繰り返し伝え、結果的に攻撃者がエージェントを“王国の鍵”を手に入れる共犯者にしてしまうのです。」
翻訳元: https://thehackernews.com/2025/09/two-critical-flaws-uncovered-in.html