サイバーセキュリティ企業Hudson Rockの研究者が、情報窃取型マルウェア(インフォスティーラー)がOpenClaw(旧Clawdbot/Moltbot)のAIエージェント設定ファイルを窃取した事例を発見しました。これは従来のブラウザ認証情報の窃取から、AIエージェントの「魂」やアイデンティティの窃取へとマルウェアの攻撃対象が進化していることを示す、極めて重要な転換点です。
この記事のポイント
- 情報窃取マルウェアがOpenClawのAIエージェント設定ファイル・ゲートウェイトークン・暗号鍵を窃取した事例が確認された
- 攻撃対象がブラウザ認証情報からAIエージェントの構成データへと進化しており、今後専用モジュールの開発が予想される
- 窃取されたトークンにより、攻撃者がリモートからAIエージェントに接続したり、認証リクエストを偽装する可能性がある
攻撃の詳細と手法
今回使用されたマルウェアは、2018年後半から活動が確認されている汎用的な情報窃取ツール「Vidar」の亜種とみられています。OpenClaw専用のモジュールを使用したわけではなく、特定の拡張子やディレクトリ名を持つ機密ファイルを広範囲に探索する「ブロードファイルグラビングルーチン」と呼ばれる手法が用いられました。つまり、AIエージェントの設定ファイルが従来のブラウザデータと同様に「価値のあるファイル」として自動的に収集対象になったことを意味します。これは攻撃者が意図的にAIエージェントを狙ったというよりも、既存の広範なファイル収集の網にAI関連ファイルがかかった形ですが、今後は専用の攻撃モジュールが開発される可能性が高いとされています。
窃取された3つの重要ファイル
攻撃により以下の3つの重要ファイルが窃取されました。
1. openclaw.json — OpenClawのゲートウェイトークン情報、被害者のメールアドレス、ワークスペースパスが含まれる設定ファイルです。このファイルが漏洩すると、攻撃者がAIゲートウェイへの認証済みリクエストを偽装できる可能性があります。
2. device.json — OpenClawエコシステム内でのセキュアペアリングや署名操作に使用される暗号鍵を保持するファイルです。デバイス認証の根幹を成すため、漏洩時の影響は甚大です。
3. soul.md — AIエージェントのコア運用原則、行動ガイドライン、倫理的境界を定義するファイルです。Hudson Rockはこれを「AIの魂」と表現しており、エージェントの振る舞いを制御する最も重要な構成要素の一つです。攻撃者がこの情報を入手することで、エージェントの動作原理を把握し、より高度な攻撃やソーシャルエンジニアリングに悪用される恐れがあります。
セキュリティ上の影響と今後の脅威
Hudson Rockの分析によると、「ゲートウェイ認証トークンの窃取により、ポートが公開されている場合、攻撃者は被害者のローカルOpenClawインスタンスにリモート接続したり、AIゲートウェイへの認証済みリクエストでクライアントになりすますことが可能になる」と警告しています。
さらに同社は、「インフォスティーラーの開発者は、ChromeやTelegramに対して行っているのと同様に、これらのファイルを復号・解析するための専用モジュールをリリースする可能性が高い」と指摘しています。これは、AIエージェント関連ファイルが今後サイバー犯罪者にとって「定番の窃取対象」になることを示唆しており、AIツールの普及に伴いセキュリティリスクが急速に拡大していることを物語っています。
OpenClawを取り巻くセキュリティ上の課題
今回の事例は、OpenClawに関する一連のセキュリティ懸念の延長線上にあります。直近では以下のような問題が報告されています。
- 悪意のあるClawHubスキルを検出するためのVirusTotal連携の導入
- 偽サイトを利用した悪意あるスキル配布キャンペーンの発生
- リモートコード実行の脆弱性を持つ数十万のOpenClawインスタンスの存在
- Moltbookアカウント削除の制限によるプライバシーリスク
OpenClawは2025年11月以降急速に普及し、GitHubで20万スターを超える人気プロジェクトとなっています。その急速な普及の裏側で、セキュリティ対策が追いついていない現状が浮き彫りになっています。
知っておくと便利なTips
- AIエージェントの設定ファイル(トークン、暗号鍵、設定JSONなど)は、ブラウザのパスワードと同等以上の機密情報として扱い、適切なアクセス制御と暗号化を施すべきです
- 情報窃取マルウェア対策として、エンドポイント保護ソフトの最新化、不審なファイルの実行防止、定期的な認証情報のローテーションが重要です
- AIエージェントが使用するポートを不必要に外部に公開しないことで、トークン漏洩時のリスクを軽減できます
まとめ
今回の事例は、サイバー攻撃の対象がブラウザの認証情報からAIエージェントの構成データへと拡大していることを明確に示しています。AIエージェントの設定ファイルには、ゲートウェイトークン、暗号鍵、そしてエージェントの行動原則(「魂」)といった高度に機密性の高い情報が含まれており、これらが窃取された場合のリスクは計り知れません。AIツールの急速な普及に伴い、開発者やユーザーは従来のセキュリティ対策に加え、AIエージェント固有の設定ファイルの保護にも注意を払う必要があります。今後、インフォスティーラーがAIエージェント専用の窃取モジュールを搭載する可能性が高く、この分野のセキュリティ対策は急務と言えるでしょう。
📎 元記事: https://thehackernews.com/2026/02/infostealer-steals-openclaw-ai-agent.html
コメント