チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「AIコーディングツールって便利だけど、セキュリティ的に安全なの?」
「Cursorでリポジトリを開くだけで乗っ取られるって本当?」
チップスボス!
Cursor AIに「NomShub」っていう脆弱性チェーンが見つかったでしゅ!
リポジトリを開いただけで端末が乗っ取られるなんて、開発者の多くが危なかったじゃないでしゅか!?
ボス間接プロンプトインジェクション、サンドボックス回避、リモートトンネル悪用の3段コンボだ。
AIエージェントが開発者の権限で動く以上、この手の攻撃は今後も繰り返し発見される。
楽観視はできない。
セキュリティ企業Straikerは、AIコードエディタCursorに存在する脆弱性チェーン「NomShub」を公表しました。
悪意あるリポジトリをCursorで開くだけで、AIエージェント経由で任意コードが実行され、持続的なシェルアクセスを与えてしまう深刻な攻撃手法です。
AIコーディングツール利用者が押さえるべきリスクと、すぐできる対応を整理します。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
NomShubは、複数の脆弱性を組み合わせることで単独では防げない攻撃を実現する典型的な「チェーン型」攻撃です。
第1段階では、一見無害なセットアップドキュメント風のファイルに攻撃指示を埋め込み、開発者がAIに質問するとエージェントがその指示を解釈・実行してしまいます。
第2段階では、Cursorのコマンドパーサ(shouldBlockShellCommand)がshellビルトイン(exportやcdなど)を検査しない盲点を突き、サンドボックスを抜けて~/.zshenvなどに永続化コードを書き込みます。
第3段階では、Cursorが備えるリモートトンネル機能をAzureインフラ経由で悪用し、HTTPSで持続的なシェルアクセスを外部攻撃者に提供します。
| ステップ | 悪用される要素 |
|---|---|
| ①侵入 | 間接プロンプトインジェクション(悪意ある指示埋め込み) |
| ②権限拡大 | コマンドパーサのサンドボックス回避 |
| ③持続化 | Cursorリモートトンネル機能の悪用 |
Microsoft SDLの基準ではCritical相当、Cursor(Anysphere)もHackerOne経由で該当部分をHigh評価し、バウンティを支払っています。
詳細な解析はStraiker社の技術ブログで確認できます。
チップスリポジトリを開いただけで攻撃されるって、GitHubからクローンするだけで危ないってことでしゅか?
ボスそうだ。
悪意あるMarkdownやREADMEが一つあるだけで、AIエージェントが攻撃者の指示で動く。
OSSを試すノリで未知のリポジトリを開くのが、いちばん危ない行動になってしまう時代だ。
Cursor側はCVE-2026-22708として修正を配布し、サーバサイドパーサが分類できないコマンドはユーザーの明示的な承認を要求する仕様になりました。
まずは全開発者のCursorを3.0以降に更新し、自動コマンド実行の設定を「明示的承認のみ」にしてください。
加えて、社内で使用するリポジトリ以外はサンドボックス環境(Dev Container、使い捨てVM)で開く運用に切り替えるのが安全です。
AIコーディングツール全般に共通する対策は以下です。
AIエージェントはその性質上、開発者と同じ権限で動きます。
つまり、攻撃者がエージェントを誘導できれば、そのまま開発者の権限で任意操作が可能です。
ツールの便利さと同じスピードで、ガバナンス設計を進めることが今まさに求められます。
チップスDev Containerでコードを開くって、これまで面倒でサボってたでしゅ…。
今後はちゃんとやらないと危ないでしゅね。
ボスAIエージェント時代、隔離はもはや「面倒な手間」ではなく「基本装備」だ。
便利さを使いこなす者だけが、安全にもコストを払える。
習慣として根付かせておけ。
NomShubは、AIコーディングツールが開発者の権限を丸ごと攻撃者に明け渡しうる構造を露呈しました。
Cursor 3.0以降へのアップデート、自動実行の無効化、未知リポジトリの隔離環境実行は、今すぐ徹底すべき基本線です。
AIの生産性と引き換えに、セキュリティの緩みを許してはならない時代が本格化しています。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
