OpenClawスキルを悪用した大規模マルウェアキャンペーン
個人用AIアシスタント「OpenClaw」(旧MoltBot、ClawdBot)の公式スキルレジストリ「ClawHub」とGitHub上で、230以上の悪意あるパッケージ、通称「スキル」がわずか1週間のうちに公開され、ユーザーに深刻な脅威をもたらしています。これらのスキルは、正規のツールを装い、ユーザーのAPIキー、ウォレットのプライベートキー、SSH認証情報、ブラウザのパスワードといった機密情報を窃取するマルウェアを拡散していることが明らかになりました。
OpenClawは、ローカルで動作し、永続的なメモリと様々なリソース(チャット、メール、ローカルファイルシステムなど)との統合を特徴とするオープンソースのAIアシスタントです。しかし、セキュリティ研究者のJamieson O’Reilly氏の指摘によれば、すでに数百ものOpenClaw管理インターフェースが不適切に設定された状態で公共ウェブに露出しており、そのセキュリティリスクが浮き彫りになっています。
巧妙な感染手口:「AuthTool」を介したマルウェア配信
悪意あるスキルの多くは、仮想通貨取引の自動化、金融サービス、ソーシャルメディア、コンテンツサービスといった正当なユーティリティを偽装しています。これらのスキルは、詳細なドキュメントを通じて、「AuthTool」という別のツールがスキルの実行に不可欠であると誤認させ、ユーザーを騙してマルウェアをインストールさせる手口を用いています。これは「ClickFix」型の攻撃に類似しています。
- macOSシステムの場合:AuthToolは、Base64エンコードされたシェルコマンドを実行し、外部アドレスからマルウェアのペイロードをダウンロードします。
- Windowsシステムの場合:パスワードで保護されたZIPアーカイブをダウンロードし、実行させます。
「NovaStealer」による広範な情報窃取の脅威
macOSシステムに配信されるマルウェアは、「NovaStealer」の亜種と特定されています。このマルウェアは、xattr -cコマンドを利用して検疫属性を削除し、Appleのセキュリティ機能であるGatekeeperを回避する能力を持っています。そして、広範なファイルシステム読み取りアクセスとシステムサービスとの通信を要求します。
NovaStealerは、以下の多岐にわたる機密情報を標的としています。
- 仮想通貨取引所のAPIキー
- 仮想通貨ウォレットのファイルとシードフレーズ
- ブラウザウォレット拡張機能のデータ
- macOSキーチェーンデータ
- ブラウザに保存されたパスワード
- SSHキー
- クラウド認証情報
- Git認証情報
- 開発環境設定ファイル(.envファイル)
ユーザーに求められる厳重なセキュリティ対策
OpenSourceMalwareコミュニティセキュリティポータルの報告によると、現在進行中の大規模なキャンペーンが悪意あるスキルを悪用してOpenClawユーザーに情報窃取マルウェアを拡散しているとのことです。さらに、Koi Securityの調査では、ClawHubの全リポジトリ2,857件をスキャンした結果、341件の悪意あるスキルと、29件のClawHub名を狙ったタイポスクワッティングが発見されました。
OpenClawの生みの親であるPeter Steinberger氏は、急増するスキル提出の数をすべてレビューすることは不可能であるとX(旧Twitter)上で認め、ユーザー自身がスキル展開前にその安全性を十分に確認する責任があると強調しています。
OpenClawがシステムに深くアクセスできる性質を鑑み、以下の多層的なセキュリティアプローチが推奨されています。
- AIアシスタントを仮想マシン内に隔離して実行する
- AIアシスタントに必要最低限の権限のみを与える
- リモートアクセスを保護する(例:ポート制限、トラフィックブロック)
Koi Securityは、スキルのURLを貼り付けることで安全レポートを取得できる無料のオンラインスキャナーも提供しており、ユーザーはこれを活用して安全性を確認することが推奨されます。