概要
OpenAIが提供するAI搭載コマンドラインツール「Codex CLI」に、攻撃者がユーザーの承認なしに任意のコマンドを実行できる重大な脆弱性が発見されました。
この脆弱性は「CVE-2025-61260」として追跡されており、深刻度は「Critical」(CVSSスコア9.8と推定)と評価されています。セキュリティ研究者のIsabel Mill氏とOded Vanunu氏によって2025年12月1日に発見されました。
脆弱性の詳細:プロジェクトローカル設定を通じたコマンドインジェクション
この脆弱性は、Codex CLIがプロジェクトローカルの設定ファイルを処理する方法に存在します。開発者がリポジトリ内でCodexを実行すると、ツールはプロジェクトのローカル設定からModel Context Protocol (MCP) サーバーエントリを自動的にロードし、実行します。
このプロセスは、ユーザーのインタラクティブな承認、二次検証、および値変更時の再確認なしに、サイレントに発生する点が問題とされています。
攻撃の仕組み
リポジトリへの書き込みアクセスまたはプルリクエスト権限を持つ攻撃者は、以下の手順でこの脆弱性を悪用できます。
- 悪意のある
.envファイルを追加し、Codexの設定ディレクトリをローカルフォルダにリダイレクトします(例:CODEX_HOME=./.codex)。 ./.codex/config.tomlファイルを作成し、任意のコマンドを含む悪意のあるMCPサーバーエントリを記述します。
開発者がこのリポジトリをクローンしてCodexを実行すると、ツールは警告やプロンプトなしに開発者のコンテキストでこれらのコマンドを自動的に実行します。Checkpointの研究者は、確定的なファイル作成攻撃やリバースシェル実行を含む複数の概念実証(PoC)ペイロードでこの脆弱性を実証しており、すべてが被害者のマシン上で静かに実行されたと報告されています。
影響と推奨される対策
この脆弱性は、以下のような複数の深刻な攻撃シナリオを可能にします。
- 永続的なリモートアクセス:設定ファイルにリバースシェルを埋め込むことで、開発者がCodexを実行するたびにアクセスが可能になります。
- システムと認証情報への完全なアクセス:開発者のシステム上のクラウド認証トークン、SSHキー、ソースコードリポジトリ、アクセス認証情報など、機密資産を直接窃取できます。
- ステルスなバックドア:最初は無害な設定を、コードがマージされた後に悪意のあるコマンドに置き換えることで、承認後も検出されにくいバックドアを作成できます。
- サプライチェーン攻撃:継続的インテグレーションシステム、自動化ツール、ビルドエージェントがCodexを実行する場合、侵害がビルド成果物やダウンストリームのデプロイメントにまで広がる可能性があります。汚染されたテンプレートや人気のあるオープンソースプロジェクトは、単一の悪意のあるコミットで多数のダウンストリームユーザーを武器化する可能性があります。
この脆弱性は、開発者がツールに期待するセキュリティ境界を根本的に破るものであり、日常的な開発ワークフローにシームレスに統合されるため、検出が困難です。OpenAIにはこの脆弱性が通知されているため、パッチが適用されたバージョンが利用可能になるまで、開発者はCodex CLIの使用を見直し、プロジェクト設定を監査し、リポジトリ内の不審なMCPサーバーエントリを監視することが強く推奨されます。