Claude Codeが攻撃者の拠点になる — 正規ツールを乗っ取る新たな潜伏手口

セキュリティ研究企業のOrigin HQが、開発の現場で広く使われているAIアシスタント「Claude Code」（Anthropic社が提供するプログラマー向けのAIツール）を、攻撃者が遠隔操作の拠点に作り変えられることを実証した研究を公開しました。怪しいウイルスを一切持ち込まず、正規の便利なツールをそのまま「攻撃インフラ」に転用するという、従来のセキュリティ対策では検知しにくい新しい手口です。そして、ここで突かれている弱点の本質は何か、それがClaude Codeだけの問題なのか、後半であらためて考えます。

何が起きた？

Claude Codeは、人が日本語や英語で「このファイルを直して」「このコマンドを実行して」と指示すると、AIがファイルを読み書きし、パソコンのコマンドを実行し、インターネットと通信してくれる、とても便利な開発ツールです。

研究者は、この便利さを逆手に取る手口を実証しました。具体的には、攻撃者は自分で攻撃用のウイルスを作る代わりに、すでにパソコンに入っているこの正規ツールへ「悪意のある指示書」を渡すだけで、遠隔操作の拠点（専門用語で「C2」と呼びます。Command and Control、つまり攻撃者が侵入先を外から操る指令の仕組みのことです）を作り上げられる、というものです。

ここで一つ、重要な前提があります。この手口は、攻撃者が「すでに一度パソコンへの侵入に成功した後」に使うものです。つまり最初の侵入そのものを助ける話ではなく、一度入り込んだ攻撃者が「気づかれずに居座り続ける」ための仕掛けだ、という点です。

なぜ怖いのか？ — 「ウイルス」ではなく「ただの文章」が攻撃の正体

これまでの攻撃では、攻撃の本体は「実行プログラム（ウイルスやマルウェアと呼ばれる、悪意のあるソフト）」でした。だからこそ、セキュリティ対策ソフトは「怪しい実行プログラムを探し出して止める」という発想で作られています。

ところが今回の手口では、攻撃の本体が実行プログラムではありません。Markdown（マークダウン）やJSON（ジェイソン）といった、メモやデータを人が読み書きできる形で書き残すための文書形式、つまり「ただのテキストファイル」に書かれた、英文の指示書なのです。「定期的にこのサーバーにアクセスして、次の命令を受け取れ」といった指示が、文章として書かれているだけです。

実行プログラムではないため、従来のセキュリティ対策ソフトは「これはただの文章だ」と見過ごしてしまいやすくなります。しかもAIは、パソコンの持ち主本人の権限で動きます。システムから見ると「持ち主が普通に便利なツールを使っているだけ」にしか見えず、不審な動きとして検知されにくいのです。

さらに攻撃者は、この仕掛けを巧妙に隠します。Claude Codeの設定の保存場所を別の場所にこっそり切り替えることで、持ち主が普段見ている画面に、その悪意のエージェントが表示されないようにできます。加えて、操作画面（ターミナル）を閉じても裏で動き続ける仕組みを使ってツールを常駐させ、1時間ごとに攻撃者のサーバーへ「ご用は何ですか」と問い合わせに行かせる設定も仕込めます。なお、こうした「裏で動き続ける機能」や「定期実行機能」は、Claude Codeの特定バージョン以降で追加されたものです。研究のデモ動画では、実際にこの仕組みを使ってNPM（ソフトウェアの部品を管理・配布するための仕組み）の認証情報が盗み出される様子が示されました。この認証情報が盗まれると、ソフトウェアに不正なコードを混入させられる恐れがあり、そのソフトウェアを後から使った多数の人にまで被害が広がる可能性があります。

「プロンプトインジェクション」とは何が違う？

AIのセキュリティでよく話題になる攻撃に「プロンプトインジェクション」があります。これは、AIが読み込む外部のデータ（Webページやファイルの中身など）に、こっそり命令文を紛れ込ませる攻撃です。この攻撃は、攻撃者が事前にパソコンへ侵入していなくても成立します。

一方で今回の手口は、攻撃者がすでに侵入を済ませた「後」に、正規の設定ファイルを植え込むものです。出発点が「侵入前か、侵入後か」で根本的に異なるため、両者は別カテゴリの攻撃と整理するのが正確です。

実は、この手口にはすでに名前が付き始めています。AIへの攻撃手口を体系化した国際的な辞書「MITRE ATLAS」には、2025年10月に「Modify AI Agent Configuration（AIエージェント設定の改変）」という項目が追加されました。これはまさに、エージェントの設定ファイルを書き換えて攻撃を持続させる、今回のような手口を指しています。また、攻撃用の道具を持ち込まず、その場にある正規ツールを悪用して検知を逃れる古典的な考え方は「環境寄生型攻撃（Living off the Land）」と呼ばれており、今回の手口はそのAI時代版とも言えます。

エンジニアだけの話ではない — AIを使う私たちみんなに関わりうる

今回の研究で対象となったClaude Codeは、確かにプログラマー向けのツールです。そのため「自分はエンジニアではないから関係ない」と感じるかもしれません。しかし、この手口が突いている弱点は、Claude Codeという特定のツールだけに特有のものとは限りません。

その弱点とは、第一に、AIツールが「ファイルを読み書きできる」「コマンドを実行できる」「インターネットと通信できる」といった強力な権限を、便利さと引き換えに最初から持っていることです。第二に、攻撃の正体が「実行プログラム」ではなく「自然言語（私たちが日常的に書く文章）で書かれた指示」であること、つまり実行プログラムを探す従来のセキュリティ対策では見つけにくいことです。少なくともClaude Codeではこの弱点が実証されており、同じような設計を持つAIツールにも当てはまりうると考えられます。ただし、Claude Code以外のツールでの検証は、今回の研究の対象ではありません。

ここから先は、今回の研究が直接実証した内容ではなく、その教訓から考えられる将来の見通しです。もし今後、AIアシスタントがエンジニアの専門ツールという枠を超えて、一般の事務作業や個人の暮らしの中へとさらに広まっていくとすれば、パソコンやスマートフォンで便利なAIアシスタントを使う人なら誰もが、同じような攻撃面を抱えうることになります。そう考えると、今回の手口は「自分には関係ない技術的な話」ではなく、AIを使う一人ひとりにとって、これから現実味を増していくかもしれないテーマだと言えます。

そして厄介なのは、防御する側にとって一番難しいのが「意図の見分け」だという点です。AIエージェントを裏で動かすこと自体は、正当な利用でも日常的に行われます。「裏で動いている＝悪」と単純に決めつけられないため、一つの特徴だけで善意と悪意を判別するのは困難なのです。

今のうちにできること

今回の手口は、AIツールそのものが「危険」なのではなく、「正規のツールに、悪意のある指示や設定をどう与えるか」という新しい攻撃面が生まれたことを示しています。AIツールを業務に取り入れる企業や、AIツールを管理する立場の人が、今のうちに着手できる対策を以下に挙げます。

AIエージェントの設定ファイルや指示書を、「実行プログラムに準じる危険物」として監視・管理の対象に含める

AIツールの設定が、標準とは違う見慣れない場所に保存されていないかを定期的に確認する

各AIエージェントに、どこまでの権限（ファイル操作・コマンド実行・ネット通信など）が与えられているかを把握し、必要以上に広い権限を与えない

裏で動き続けているAIのセッションや、自動で繰り返し実行される設定がないかを可視化する

「見慣れない設定場所」「広すぎる権限」「裏での自動実行」といった複数の兆候を関連付けて、文脈から総合的に判断する体制を整える

AIツールの利用がさらに広がっていくとすれば、これはいずれ、一部の専門家だけの課題にとどまらなくなります。だからこそ、AIツールを「便利な道具」としてだけでなく、「強力な権限を持つ、守るべき対象」として捉え直しておくことが、企業にとっても、AIを使う一人ひとりにとっても、これからの重要な備えになります。

出典：Origin HQ「When Background AI Agents Become a Security Boundary Problem」 https://www.originhq.com/research/background-c2-agent