偽のMoltbot AIコーディングアシスタント
サイバーセキュリティ研究者は、公式マーケットプレイス上で、Moltbot(旧Clawdbot)向けの無料AIコーディングアシスタントと偽って宣伝する悪意のあるMicrosoft Visual Studio Code拡張機能を発見しました。この拡張機能は、正当な機能を提供する代わりに、侵害されたシステムに有害なペイロードを密かに展開していました。
「ClawdBot Agent – AIコーディングアシスタント」(clawdbot.clawdbot-agent)というタイトルの拡張機能は、2026年1月27日に「clawdbot」というユーザーによって公開されました。その後、Microsoftはマーケットプレイスからこの拡張機能を削除しました。脅威アクターは、Moltbotの急速な人気上昇を利用し、Moltbot自体が公式に提供していないツールを、何も知らない開発者にインストールさせようとしました。
目次
モルトボットが魅力的な餌だった理由
Moltbotは、大規模な言語モデルを搭載したローカルホスト型パーソナルAIアシスタントという約束を背景に、GitHubで85,000スターを突破しました。このプラットフォームは、WhatsApp、Telegram、Slack、Discord、Signal、iMessage、Microsoft Teams、Google Chat、Webベースのチャットクライアントといった使い慣れたサービスとのやり取りを可能にします。
見落とされがちな重要な点として、Moltbot には正規の VS Code 拡張機能が存在しないことが挙げられます。攻撃者はこの脆弱性を突いて、開発者エコシステムにシームレスに溶け込むように設計された偽造プラグインを導入しました。
IDE起動から完全なリモートコントロールまで
インストールされると、悪意のある拡張機能はVS Codeを起動するたびに自動的に実行されます。clawdbot.getintwopc.siteからリモートconfig.jsonファイルを取得し、拡張機能にCode.exeというバイナリの実行を指示します。この実行ファイルは、正規のリモートアクセスツールであるConnectWise ScreenConnectを展開します。
インストールされた ScreenConnect クライアントは、meeting.bulletmailer.net:8041 に接続し、攻撃者に感染したマシンへの永続的なインタラクティブなリモート アクセスを提供しました。
冗長な配信と回復力の戦術
攻撃者は独自のScreenConnectリレーインフラストラクチャを運用し、拡張機能を通じて事前設定されたクライアントを配布していました。複数のフォールバックメカニズムにより、主要なコマンド&コントロールチャネルが機能しなくなった場合でも、ペイロードを確実に配信することができました。
これらには以下が含まれます。
- config.json で参照される Rust ベースの悪意のある DLL (DWrite.dll) の取得とサイドローディング。Dropbox から ScreenConnect クライアントをダウンロードできます。
- Code.exe を介した DLL サイドローディング。同じディレクトリに配置すると、悪意のあるライブラリが優先的にロードされます。
- 拡張機能内にハードコードされた URL があり、代替のダウンロード場所を指しています。
さらに詳しく分析すると、いくつかのメカニズムが信頼性に欠けながらも永続性を保つために階層化されていたため、攻撃者は運用上の失敗を予期していたことがわかります。
より大きなリスク:安全でないMoltbotの導入
悪意のある拡張機能に加え、研究者たちはオンラインで数百もの認証されていないMoltbotインスタンスを発見しました。これらは、典型的なリバースプロキシの設定ミスが原因で、設定ファイル、APIキー、OAuth認証情報、そしてプライベートチャット履歴が漏洩していました。
この脆弱性は、Moltbot による「ローカル」接続の自動承認とリバースプロキシ経由の展開の組み合わせに起因していました。インターネットから発信されたトラフィックが誤って信頼できるローカルアクセスとして扱われ、認証されていない制御が可能になっていました。
AIエージェントが攻撃プロキシになるとき
Moltbotエージェントは運用上の自律性を有し、ユーザーに代わってメッセージを送信したり、主要なメッセージングプラットフォーム間でやり取りしたり、ツールを実行したり、コマンドを実行したりできます。そのため、不正アクセスが発生した場合、深刻なリスクが生じます。
- 侵害されたエージェントは、次のような目的で悪用される可能性があります。
- オペレーターになりすましてプライベートな会話にメッセージを挿入する
- エージェントの出力とワークフローを操作する
- 機密データを目に見えない形で盗み出す
- MoltHub(旧ClawdHub)を通じて悪意のある、またはバックドア付きの「スキル」を配布し、サプライチェーン型の攻撃を可能にする
広範囲にわたる誤った構成により、資格情報の漏洩、プロンプトインジェクションの悪用、クラウド間の侵害のシナリオが発生しやすい状況がすでに生まれています。
建築上の弱点
問題の根底にあるのは、Moltbot のアーキテクチャ哲学です。このプラットフォームは、堅牢なデフォルト設定よりも、スムーズな導入を優先しています。ユーザーは、強制的なファイアウォール、資格情報検証、プラグインのサンドボックス化なしに、機密性の高いエンタープライズサービスを迅速に統合できます。
セキュリティ専門家は、Moltbot が企業システムに深くアクセスし、多くの場合、従来のセキュリティ境界外にある管理されていない個人デバイスからアクセスするため、設定ミスによって大きな影響を与える制御ポイントが作り出されると警告しています。サンドボックスが存在せず、長期記憶と認証情報が平文で保存されるため、Moltbot は特に魅力的な標的となっています。
攻撃者がホストマシンに侵入した場合、高度な技術は必要ありません。現代のインフォスティーラーは、トークン、APIキー、ログ、開発者設定データなど、既知のディレクトリを日常的に収集します。これらの資産が暗号化されていない状態で保存されている場合、数秒以内に持ち出すことができます。
研究者らはすでに、RedLine、Lumma、Vidar などのサービスとしてのマルウェア ファミリが、Moltbot 関連のディレクトリ構造を標的とするように特に適応していることを確認しています。
データ窃盗から認知侵害まで
インフォスティーラーのオペレーターにとって、Moltbotのデータは単なる認証情報以上の意味を持ちます。研究者が「認知的コンテキスト窃取」と呼ぶものを可能にします。会話履歴、システムプロンプト、そして長期記憶にアクセスすることで、攻撃者はシステムだけでなく、その運用意図も理解できるようになります。
攻撃者が、スティーラーと一緒に展開されたリモート アクセス型トロイの木馬などを通じて書き込みアクセス権も取得した場合、エージェントのハイジャックやメモリ汚染にエスカレートし、時間の経過とともに動作、出力、信頼関係を巧妙に操作する可能性があります。
即時のリスク軽減策
Moltbot をデフォルト設定で運用している組織や個人は、直ちに防御措置を講じることを強くお勧めします。
- すべての構成と公開されているサービスを監査します。
- 接続されているすべての統合と資格情報を取り消してローテーションします。
- システムに侵害の兆候がないか確認します。
- ネットワーク レベルのアクセス制御と監視を実施します。
決定的な修復が行われなければ、Moltbot 環境はサイレントテイクオーバー、データサイフォン、下流のサプライチェーン攻撃に対して非常に脆弱な状態のままとなります。
