開いただけで認証情報が抜かれる──「Miasma」ワームが突いたコーディングエージェントの自動実行
Microsoftのオープンソースリポジトリ73件を汚染した「Miasma」ワーム。Claude CodeやCursorでリポジトリを開くだけで認証情報を盗む手口と、開発者が今日からできる防御策を整理します。
リポジトリをクローンして Claude Code や Cursor で開く。多くの開発者が1日に何度も繰り返すこの操作が、認証情報を盗まれる入り口になりました。2026年6月8日、TechCrunch は Microsoft が GitHub 上のオープンソースリポジトリ70件以上を一時的に無効化したと報じました。きっかけは「Miasma(ミアズマ)」と呼ばれる自己増殖型のサプライチェーン攻撃で、標的はまさに AI コーディングエージェントの利用者でした。
Azure 関連リポジトリ73件が無効化された
セキュリティ各社の分析によると、攻撃が表面化したのは6月5日です。攻撃者は過去に盗み出した正規の貢献者アカウントの認証情報を使い、Azure/durabletask リポジトリへ悪意あるコミットを送り込みました。そこから worm(ワーム)として連鎖し、Azure・Azure-Samples・Microsoft・MicrosoftDocs の4組織にまたがる73件のリポジトリが汚染されたと報告されています。GitHub は自動検知でこれらを無効化しましたが、その中には CI/CD で広く使われる Azure/functions-action も含まれ、Azure Functions のデプロイ用パイプラインが一時的に止まる二次被害も生じました。
Microsoft の広報担当 Ben Hope 氏は「悪意あるコンテンツの可能性を調査するため、一部のリポジトリを一時的に削除した」とコメントしています。一部は調査後に復旧した一方、無効化されたままのものもありました。これは数週間で2度目の事案で、5月に侵害された Durable Task プロジェクトの「再汚染」の可能性が指摘されています。技術的には、5月の PyPI 攻撃で使われた worm(Mini Shai-Hulud)と同一の貢献者アカウント・類似のペイロードが確認されており、同じ攻撃基盤の延長線上にあるとみられています。
狙われたのは「エージェントが勝手に動く」仕組みだった
この攻撃の肝は、AI コーディングエージェントや IDE が持つ自動実行の仕組みを悪用した点にあります。汚染されたリポジトリを開くと、利用者が何も操作しなくてもペイロードが起動するよう、ツールごとの設定ファイルが仕込まれていました。最終的な実行先はいずれも、難読化された4.6MBの JavaScript(.github/setup.js)です。
| ツール | 仕込まれたファイル | 起動の仕組み |
|---|---|---|
| Claude Code | .claude/settings.json | セッション開始時に走る SessionStart フックでペイロードを自動実行 |
| Gemini CLI | .gemini/settings.json | 同じく SessionStart フックで自動実行 |
| Cursor | .cursor/rules/setup.mdc | alwaysApply: true のルールでエージェントに「node .github/setup.js を実行せよ」とプロンプトインジェクション |
| VS Code | .vscode/tasks.json | runOn: folderOpen 指定でフォルダを開いた瞬間にタスク実行 |
起動したペイロードは、AWS・Azure・GCP・Kubernetes をはじめ90種類以上の開発ツールの設定から認証情報を抜き取ります。盗んだ GitHub トークンは次のリポジトリへコミットを送るために再利用され、別の開発者がそのリポジトリを開くとまた新しいトークンが盗まれる──こうして自己増殖し、113以上のリポジトリへ広がったとされます。
「便利な自動化」が攻撃面になるという反転
フック、ルールファイル、フォルダを開いた瞬間のタスク実行。いずれもエージェントを手間なく立ち上げるための機能で、開発者が歓迎してきたものです。今回の事案は、その自動化がそのまま攻撃面(attack surface)になり得ることを示しました。従来のサプライチェーン攻撃は npm や PyPI といったパッケージ配布の経路を汚す手口が中心でしたが、今回はリポジトリそのものに設定ファイルを仕込み、エージェントの自動実行に乗せるという新しい経路です。コードを書いてもらう相手に環境の初期化まで任せる運用が広がるほど、この経路の旨味は増していきます。
裏を返せば、防御側の発想も変わります。これまで「依存パッケージは信頼できるか」を気にしていたところに、「このリポジトリを開いた瞬間、エージェントが何を自動で走らせるか」という観点が加わりました。利便性の裏で、信頼していないコードをエージェントに渡す行為のリスクが一段上がった、と指摘する声が出ています。
クローンしてから開くまでに挟むべき確認
セキュリティ各社が挙げる対策は、特別なツールがなくても今日から実践できるものが中心です。要点を整理します。
開く前の確認
- クローンしたリポジトリは、エージェントで開く前に
.claude/・.gemini/・.cursor/・.vscode/tasks.jsonといった設定ファイルの有無と中身を確認する。 - 身に覚えのない初期化スクリプト(例:
.github/setup.js)や、フォルダを開いた瞬間に走る設定がないかを見る。
汚染が疑われる場合
- 6月2日以降に該当リポジトリをクローンしたなら、その環境は侵害された前提で扱う。
- GitHub トークン・npm トークン・AWS キー・Azure サービスプリンシパル・GCP サービスアカウント・SSH 鍵をすべてローテーションする。
チームとして仕込んでおく備え
- 全コミットに PR レビューを必須化するブランチ保護を有効にする。
- GitHub Actions は可変タグでなくコミット SHA でピン留めする。
- CI/CD ランナーからの外向き通信を監視し、不審な C2 接続を検知できるようにする。
- 長命な API トークンより、OIDC ベースの短命な発行(PyPI Trusted Publishing 等)へ寄せる。
エージェントに環境構築まで任せる流れは生産性の面で大きな利点があり、その方向自体を否定する話ではありません。ただ、「開くだけで動く」のはエージェントの長所であると同時に、信頼できない相手に渡せば弱点にもなります。クローンと起動のあいだに一拍だけ確認を挟む──その小さな習慣が、今回のような攻撃に対する現実的な歯止めになります。
参照: TechCrunch: Microsoft's open source tools were hacked to steal passwords of AI developers / StepSecurity: Miasma Worm Hits Microsoft Again / Rescana: Miasma Worm Supply Chain Attack
