npmレジストリ上で、Claudeのユーザーデータ領域にあるファイルを外部へ送信する機能を持つ悪意あるパッケージが確認されたと報告されています。AI開発環境や自動化ツールを利用する現場では、便利なパッケージの導入が情報漏えいにつながる可能性があるため、依存関係の確認が重要です。The Hacker News:Malicious npm Package Stole Files From Claude AI User Directory via GitHub
この記事のポイント
影響のあるシステム
- npmパッケージを利用するNode.js開発環境
- 「mouse5212-super-formatter」をインストールした可能性のある環境
- AnthropicのClaude AIツールで「/mnt/user-data」ディレクトリを利用する環境
- GitHubアクセストークンを環境変数などに保持している開発環境
- AIツールへのアップロードファイルや生成物を扱う開発・検証環境
推奨される対策
- 「mouse5212-super-formatter」を利用していないか、package.json、package-lock.json、npm履歴を確認する
- 該当パッケージをインストールしていた場合は、環境内のGitHubアクセストークンを失効・再発行する
- ClaudeなどのAIツールにアップロードしたファイルや出力データに機密情報が含まれていないか確認する
- npmパッケージ導入時は、作成者、公開日、ダウンロード数、postinstallスクリプトの有無を確認する
- CI/CDや開発端末で使用するトークンには、最小権限と短い有効期限を設定する
- 依存関係スキャン、SBOM管理、npm auditなどを組み合わせて、サプライチェーンリスクを継続的に確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- npm:JavaScriptやNode.jsで利用されるパッケージ管理サービスです。外部ライブラリを簡単に導入できますが、悪意あるパッケージが混入するリスクもあります。
- サプライチェーン攻撃:利用者が信頼して導入するソフトウェア、ライブラリ、更新機能などを悪用して侵害を狙う攻撃です。
- postinstall:npmパッケージのインストール後に自動実行される処理です。正規用途もありますが、不正コードの実行に悪用される可能性があります。
- GitHubアクセストークン:GitHub APIやリポジトリ操作に使われる認証情報です。漏えいすると、リポジトリの作成やファイル操作に悪用される可能性があります。
- OPSEC:Operational Securityの略で、攻撃者や組織が自分たちの活動や身元を隠すための運用上の安全対策を指します。
- SBOM:Software Bill of Materialsの略です。ソフトウェアに含まれる部品や依存関係を一覧化した情報を指します。
AI利用環境のファイルが狙われる新しいリスク
今回報告された悪意あるnpmパッケージは、「mouse5212-super-formatter」という名称で公開されていたとされています。OX Securityによると、このパッケージはAnthropicのClaude AIツールがアップロードや出力の処理に使う専用ディレクトリ「/mnt/user-data」からファイルを取得し、外部へ送信する機能を備えていたと報告されています。従来の情報窃取型マルウェアは、ブラウザの認証情報、暗号資産ウォレット、環境変数、SSHキーなどを狙うケースがよく知られていますが、今回はAIツールの作業領域が明示的に対象になっている点が特徴です。AIツールには、調査資料、設計書、ログ、ソースコード、顧客データの一部などがアップロードされることがあります。そのため、AI利用環境の一時ファイルや出力フォルダも、通常の開発資産と同様に保護対象として扱う必要があります。特に、検証用だから安全、ローカル作業だから外に出ない、といった前提で機密情報を扱っている場合、パッケージ導入をきっかけに意図しない外部送信が発生する可能性があります。
postinstallを悪用したGitHub経由のデータ送信
元記事によると、このパッケージは表向きには社内向けの「archive deployment sync」ユーティリティのように振る舞い、GitHubリポジトリの検証や初期化、軽量なネットワーク状態の記録、ローカルワークスペースの同期を行うように見せかけていたとされています。しかし実際には、npmのpostinstall段階でGitHubへの認証を試み、被害環境内で見つかったGitHubアクセストークン、またはフォールバックとしてハードコードされたトークンを使っていたと報告されています。その後、標的となるリポジトリが存在するかを確認し、存在しない場合は新規作成したうえで、ローカルファイルを再帰的に攻撃者側のGitHubアカウントへアップロードしていたとされています。盗み出されたファイルは、窃取セッションを区別しやすくするため、ランダムな名前のフォルダに保存されていたと報告されています。さらに、診断情報を送っているように見せる偽の「network connections」ログも作成していたとされ、正規の同期処理やトラブルシューティングに見せかけながら、実際にはローカルデータを無断で収集・転送していた可能性があります。
「雑なマルウェア」でも被害につながる可能性がある
この活動は「Malware-Slop」と名付けられていると報告されています。興味深い点として、問題のパッケージは攻撃に使われたGitHubアカウントの情報やプライベートトークンを露出させていた可能性があり、攻撃者が基本的なOPSECを十分に実施していなかった可能性が指摘されています。OX Securityは、悪意あるコードを作成するハードルが大きく下がったことで、今後はより多くの攻撃者が参入し、APTグループを模倣するような粗雑なマルウェアをアップロードする可能性があると見ています。ここで重要なのは、攻撃コードの品質が低いからといって、組織への影響が小さいとは限らない点です。npmのようなエコシステムでは、開発者が一度パッケージを導入すると、インストール時スクリプトが自動的に実行される場合があります。つまり、攻撃者の実装が粗くても、開発端末やCI環境に機密ファイルやアクセストークンが置かれていれば、短時間で情報漏えいにつながる可能性があります。AIで生成された可能性のある不正コードが増えるほど、防御側は「高度な攻撃」だけでなく、「雑だが実害のある攻撃」にも備える必要があります。
国内企業が確認すべき開発環境とAI利用ルール
日本企業が今回の事例から優先して確認すべき点は、npmパッケージの利用状況、GitHubトークンの管理、AIツールに投入するデータの範囲です。まず、package.jsonやlockファイル、開発端末のnpmキャッシュ、CI/CDの実行ログを確認し、「mouse5212-super-formatter」が導入されていないかを確認する必要があります。導入履歴がある場合は、端末内やCI環境に保存されていたGitHubアクセストークンを失効し、必要に応じて再発行することが現実的です。また、ClaudeなどのAIツールにアップロードしたファイルや生成された出力が、どのディレクトリに保存され、誰がアクセスできるのかを把握しておくことも重要です。業務でAIを使う場合、機密情報や顧客情報を入力しないというルールだけでは不十分な場合があります。アップロード後の作業ファイル、出力ファイル、一時保存領域が、開発ツールや外部パッケージから読み取れる状態になっていないかを確認する必要があります。開発部門と情報システム部門は、依存関係の審査、トークンの最小権限化、AI利用時のデータ分類を組み合わせて、現実的に運用できるルールへ落とし込むことが求められます。
参考文献・記事一覧
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
