Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > AIコーディングツールが新たなサプライチェーン攻撃の標的に

AIコーディングツールが新たなサプライチェーン攻撃の標的に

by Patrick Spencer updated 6月 1, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

あなたのチームのすべての開発者がAIと協働しています。GitHub Copilot、Cursor、Claude――これらはIDE内に常駐し、プロジェクトのコンテキストを読み取り、コードを提案します。これが生産性向上のストーリーです。しかし今週、セキュリティのストーリーが登場しました。攻撃者が、AIコーディングツールがプロジェクトを理解するために利用する設定ファイル自体を操作することで、その協働関係を乗っ取る手法を編み出したのです。

TrapDoor攻撃チェーンは、多くのエンタープライズセキュリティ対策が目を光らせていない場所――オープンソースパッケージレジストリ――から始まります。開発者がnpm、PyPI、Crates.ioから、正規の依存関係に酷似した悪意のあるパッケージをインストールします。TrapDoorの特徴は、初期の配信手法ではありません。インストール後にパッケージが行う動作こそが特徴です。悪意のあるパッケージは直接ペイロードを実行するのではなく、プロジェクトのCLAUDE.md設定ファイル――AIにプロジェクトの内容や遵守すべき規約、振る舞い方を伝える説明書――を改ざんします。

この設定ファイルが改ざんされると、AIコーディングツールは攻撃の意図を知らずに加担することになります。AIは変更された指示を読み取り、リクエストを攻撃者が管理するインフラへリダイレクトし、プロジェクトコンテキストを読み取る際に範囲内にある認証情報や機密性の高い環境変数を外部に流出させます。AIモデル自体が侵害されたわけではありません。GitHub CopilotやClaudeの脆弱性が悪用されたわけでもありません。攻撃者はAIが信頼する設定を汚染し、AIは設定通りに動作しただけです。TrapDoorがセキュリティ問題であると同時にガバナンス問題でもある理由がここにあります。

5つの重要なポイント

1. AIコーディングツールは設定ファイルの改ざんで攻撃手段となり得る

TrapDoorキャンペーンは、npm、PyPI、Crates.ioで合計34個の悪意あるパッケージを配布し、CLAUDE.mdなどのプロジェクト設定ファイルを改ざんすることでAIコーディングアシスタントを標的としました。改ざんされた設定ファイルは、AIツールにリクエストを攻撃者管理のインフラへリダイレクトさせ、認証情報を流出させます――AIモデル自体の脆弱性が悪用されたわけではありません。AIは設定通りに動作していただけです。セキュリティチームの視点では、AIレイヤーで異常は発生していません。AIガバナンスはモデルレイヤーより下の層で機能する必要があります。

2. ガバナンスされていないAIの読み取り権限が構造的な脆弱性

AIコーディングツールには、プロジェクトコンテキスト――ソースファイル、設定ファイル、環境情報、READMEドキュメント――への広範な読み取り権限が与えられており、多くの企業が明示的にガバナンスしていないデータチャネルが開かれています。DTEX 2026 Insider Threat Reportによると、73%の組織が未承認のAI利用によって見えないデータ流出経路が生まれることを懸念しています。TrapDoorは、すでに存在していたチャネルを攻撃手段として利用しました。

3. AIサプライチェーン攻撃は文書化されたエスカレーションパターンに従う

CrowdStrike 2026 Global Threat Reportでは、2022年以降、サードパーティモデル経由のAIサプライチェーン攻撃が3倍に増加し、AIを活用した敵対的活動も前年比89%増加していると報告されています。TrapDoorはまさにこの傾向の中にあり、過去にも体系的に悪用されてきた開発者エコシステムを標的としています。特にnpmエコシステムは、複数のキャンペーンで繰り返し侵害ベクトルとして指摘されています。

4. 規制業界では即時かつ想定外のコンプライアンスリスクが発生

CUI、PHI、ITAR管理データを扱う組織は、AIコーディングアシスタントが明示的なアクセス制御や外部送信ガバナンスなしに機密情報を読み取ることで、直接的なコンプライアンスリスクに直面します。事後にアクティビティを記録しても、CMMC、HIPAA、ITARのアクセス制御要件は満たされません。コンプライアンスの問題は新たな規制義務ではなく、既存の義務を侵害する新たな手段が生まれたことにあります。

5. モデル前段の制御がサプライチェーン攻撃成功時の被害範囲を限定

サプライチェーン攻撃が成功した場合でも、ツールが機密データを読み取る前にゼロトラスト型のコンテンツガバナンスを適用することで、被害を封じ込めることができます。データレイヤーでのアクセス制御は、AIツールの設定が侵害されているかどうかに関係なく独立して機能します。改ざんされたCLAUDE.mdファイルはAIへの指示内容を変えることはできますが、AIが実際にアクセスできるコンテンツを管理するアクセス制御ポリシーを拡張することはできません。

あなたの組織は安全だと信じていませんか。その証明はできますか

Read Now

AIツールが継承する信頼モデル――そして攻撃者が悪用するもの

開発者のIDEがAIコーディングアシスタントと連携すると、そのアシスタントはプロジェクトコンテキストへの広範な読み取り権限を得ます。AIが読み取るプロジェクトディレクトリ内のすべてが、事実上、外部サービスへの転送データとなります。多くの開発環境では、このチャネルは開発者がAIツールの利用規約に同意するだけで管理されています。AIがどのファイルを読めるかを定義する明確なアクセス制御ポリシーはありません。開発環境からどんなデータが外部に出ていくかを制御する仕組みもありません。AIが予期しない外部接続を行っても、アラートは発生しません。

DTEX 2026 Insider Threat Reportによると、92%の組織が生成AIによって従業員の情報アクセスや共有方法が変化したと回答していますが、ガバナンスを含めてAIをビジネス戦略に正式に組み込んでいるのはわずか13%です。このAI導入とAIガバナンスのギャップこそが、TrapDoorが狙う攻撃対象です。この攻撃は新たなデータ流出経路を生み出したのではなく、すでに存在していた経路を悪用したのです。

異常ではなくパターン:AIサプライチェーン攻撃のエスカレーション

TrapDoorを単発の新しい攻撃と捉えているセキュリティリーダーは再考すべきです。CrowdStrike 2026 Global Threat Reportでは、2022年以降、サードパーティモデル経由のAIサプライチェーン攻撃が3倍に増加し、AIを活用した敵対的活動も前年比89%増加していると記録されています。CrowdStrikeは特にnpmエコシステムを繰り返し侵害ベクトルとして指摘し、BeaverTailパッケージやShaiHuludインフォスティーラーを例に、脅威アクターが開発者ツールチェーンを体系的に標的としていることを示しています。

Kiteworks 2026 Forecastによると、63%の組織がAIエージェントに目的制限を強制できず、60%が異常動作するAIシステムを停止できず、55%が予期しない挙動を示し始めたAIシステムを隔離できないと回答しています。TrapDoorの文脈では、これらの数字は攻撃を封じ込めるために必要な具体的な制御――AIコーディングツールが読み取れる範囲を制御する能力、異常なセッションを終了させる能力、データ流出前に侵害されたツールを隔離する能力――を示しています。

まだ誰もモデル化していないコンプライアンスリスク

規制業界の組織にとって、TrapDoorは多くが明示的にモデル化していないコンプライアンスリスクを生み出します。リスクにさらされる具体的なデータタイプを考えてみましょう。

防衛契約コードベースにおけるCUI。 防衛プロジェクトでAIコーディングアシスタントが利用される場合、技術仕様書や設計文書、CUIを含む・参照するソースコードへの読み取り権限が与えられることがあります。AIの設定が侵害され、攻撃者管理のエンドポイントにデータを流出させ始めると、管理情報の未承認開示となり、CMMCやDFARSに直接影響します。

ヘルステクノロジー開発におけるPHI。 医療機関が患者データを扱うアプリケーションを開発する際、テスト目的で開発環境にPHIが存在することがよくあります。AIコーディングアシスタントがその環境で広範な読み取り権限を持つ場合、ツール導入時に明示的に考慮されていなくてもPHIにアクセスできてしまいます。

航空宇宙・防衛分野におけるITAR管理技術データ。 ソースコードや設計ファイル、設定データに現れる輸出管理対象の技術データは、どこに保存されていてもITARの対象です。AIツールがこれらのデータを読み取り、流出させた場合、開発者が明示的に送信していなくても未承認の輸出となります。

TrapDoorのコンプライアンス問題は、新たな規制義務が生まれることではなく、既存の義務を侵害する新たな手段が生まれることにあります。最もリスクが高いのは、AIコーディングツールを広範に導入しながら、その導入を既存のコンプライアンス義務にマッピングしていない組織です。

AIツールにおけるゼロトラスト・コンテンツガバナンスの本質

AIツールへのゼロトラスト適用には明確な意味があります。AIツールへの認証済みアクセスが、特定のコンテンツへのアクセス権を自動的に付与するわけではありません。AIが読み取るすべてのファイル、読み込むすべての設定は、明示的なポリシーに照らして評価され、許可されて初めてアクセスが認められます。問われるのは、開発者のIDEがAIサービスに接続できるかどうかではなく、AIサービスが特定のプロジェクトの文脈で、特定の分類の、特定のファイルを読むことが許可されているか、そしてそのアクセスが監査証跡として記録されているかどうかです。

非人間ID(この場合はAIコーディングツールのサービス認証情報)が侵害された場合、ゼロトラスト・コンテンツアーキテクチャは攻撃の計算式を大きく変えます。改ざんされたCLAUDE.mdファイルはAIへの指示内容を変えることはできますが、AIが実際にアクセスできるコンテンツを管理するアクセス制御ポリシーを拡張することはできません。

Kiteworks Secure MCP ServerとAI Data Gatewayは、これをコンテンツレイヤーで実装しています。ユーザーの役割、セッションの目的、コンテンツの分類がすべて明示的なポリシー要件を満たした場合のみ、AIセッションが機密コンテンツにアクセスできます。すべてのアクセス――人間もAIも――は認証され、属性ベースアクセス制御(ABAC)で認可され、FIPS 140-3認証暗号で暗号化され、改ざん検知可能な監査証跡としてSIEMにストリーミングされます。Kiteworks Private Data Networkは、これをメール、ファイル共有、MFT、SFTP、Webフォーム、API全体に拡張し、単一のポリシーエンジンと統合監査ログを提供します。

TrapDoorを超えて適用される原則

TrapDoorは特定のキャンペーンですが、そこから見えてくる原則は普遍的です。機密コンテンツを読み取るあらゆるツールは、セキュリティツールの問題にとどまらず、コンテンツガバナンスの問題でもあるということです。ファイル共有プラットフォーム、メールクライアント、AIコーディングアシスタント、マネージドファイル転送システム――どれであっても問われるのは同じです。このコンテンツに誰がアクセスできるのか?どんな条件下で?そのアクセスが侵害された場合、どんな外部送信制御があるのか?

セキュリティやコンプライアンスチームが自社の体制を評価する際、実践的に問うべき3つの質問があります。第一に、開発環境にどのAIコーディングツールが導入されており、それらが生産性ツールとしてだけでなくデータチャネルとして正式に評価されているか?第二に、それらのツールが読み取れるコンテンツは何か、その中に規制義務の対象となるデータが含まれているか?第三に、AIコーディングツールの設定が今日侵害された場合、AIが読み取れる範囲やデータの送信先を制限する制御は何か?

AIワークフローから機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

AIコーディングツールを標的としたサプライチェーン攻撃とは、AIツールが信頼し活用するソフトウェア開発エコシステムの構成要素――たとえばオープンソースパッケージ――に悪意のあるコードや指示を挿入する手法です。TrapDoorの悪意あるパッケージは、AIコーディングアシスタントが権威ある指示として扱う設定ファイルを改ざんしました。Kiteworks Secure MCP ServerとAI Data Gatewayは、攻撃が成功する前にAIツールが読み取れるコンテンツやデータの送信先をガバナンスします。

CLAUDE.mdのような設定ファイルは、AIコーディングツールの信頼階層の中で特権的な位置にあり、AIの振る舞いを決定する権威ある指示として扱われます。設定ファイルが侵害されることは、技術的な脆弱性を悪用せずにAIの指示自体を乗っ取るのと実質的に同じです。したがって、設定ファイルの完全性はセキュリティ制御だけでなくガバナンス制御でもあり、既存のデータ分類フレームワークでAIツールの設定アーティファクトも明示的にカバーする必要があります。

CMMCの下でCUIを扱う防衛請負業者、PHIにアクセスするヘルステクノロジー組織、ITAR管理技術データを扱う航空宇宙・防衛企業が最も直接的なリスクにさらされます。Kiteworks 2026 Forecastによると、63%の組織がAIエージェントに目的制限を強制できていません――これはサプライチェーン侵害が発生した際にTrapDoorクラスの攻撃を封じ込めるための具体的な制御です。

AIコーディングツールが開発環境に認証済みでアクセスできても、特定のファイルやデータタイプへの読み取り権限が自動的に付与されるわけではありません。アクセス制御ポリシーはAIがアクセスできるコンテンツを明示的に定義し、外部送信制御は環境外に出ていくデータを制限し、異常な外部接続はデータ流出ではなくアラートを発生させます。Secure MCP Serverは、AIツールの設定が攻撃者に改ざんされたかどうかに関係なく、データレイヤーでこれを強制します。

TrapDoorは、文書化されたエスカレーションパターンと一致しています。CrowdStrike 2026 Global Threat Reportでは、2022年以降AIサプライチェーン攻撃が3倍に増加したと記録されています。そのパターンは、エンタープライズの境界よりも歴史的に制御が弱い開発者ツールチェーンを標的とすることです。明示的なアクセス制御、外部送信監視、改ざん検知可能な監査ログによるデータレイヤーガバナンスが、この種の攻撃を、どのパッケージレジストリや設定ファイルが次の侵入経路になっても封じ込め可能にします。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:なぜ91%の中小企業が2025年にデータセキュリティでロシアンルーレットをしているのか
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks