Security

Microsoft Defender警告: OpenClawセルフホストの危険性

3分で読める

概要

Microsoft Defenderは、セルフホスト型AIランタイム「OpenClaw」を、永続的なIDで信頼できないコードを実行しうる高リスクな仕組みとして警告し、ユーザー資格情報や機密データのある環境で動かすべきではないとしています。外部から取得するskillと信頼できないテキスト入力という2つの供給経路が結びつくことで、プロンプトインジェクションやマルウェア実行、トークン流出、永続化の危険が高まるため、IT管理者にとってはワークステーションや社内環境での運用方針を見直す重要な示唆になります。

Securityでお困りですか?専門家に相談する

Introduction: why this matters

セルフホスト型の AI/エージェント ランタイムは企業のパイロットに急速に入り込んでいますが、OpenClaw のモデルは、従来のワークステーション セキュリティが想定していない形でセキュリティ境界を変えてしまいます。信頼できないテキストを取り込み、外部の skills をダウンロードして実行し、永続的な資格情報で動作できるため、Microsoft Defender は OpenClaw を 永続的な ID を伴う信頼できないコード実行 として扱うことを推奨しています。つまり、ユーザーの資格情報やトークン、機密データが存在する場所で実行すべきではありません。

What’s new / key takeaways from Microsoft Defender

OpenClaw vs. Moltbook: separate the runtime from the instruction platform

  • OpenClaw (runtime): VM/コンテナー/ワークステーション上で動作し、そのホストと ID が持つ信頼を継承します。skill のインストールは、実質的にサードパーティ製コードの実行です。
  • Moltbook (platform/identity layer): スケーラブルなコンテンツおよび指示ストリーム。単一の悪意ある投稿でも、スケジュール取り込みを行う複数のエージェントに影響を与える可能性があります。

Two supply chains converge into one execution loop

Microsoft は、リスクを複合的に高める攻撃者制御の入力を 2 つ指摘しています:

  • Untrusted code supply chain: インターネットから取得される skills/拡張機能(例: ClawHub のような公開レジストリ)。「skill」は単純にマルウェアである可能性があります。
  • Untrusted instruction supply chain: 外部テキスト入力には間接的プロンプト インジェクションが含まれ得ます。これがツール利用を誘導したり、エージェントの「memory」を改変して攻撃者の意図を永続化させたりします。

The agent security boundary: identity, execution, persistence

Defender は新しい境界を次のように整理しています:

  • Identity: エージェントが利用するトークン(SaaS APIs、リポジトリ、メール、クラウド コントロール プレーン)
  • Execution: 実行可能なツール(シェル、ファイル操作、インフラ変更、メッセージング)
  • Persistence: 実行をまたいで生き残る仕組み(config/state、スケジュール、タスク)

Impact on IT admins and end users

  • セルフホスト エージェントにとって ワークステーションは安全なホストではなくなる: ランタイムが開発者の資格情報、キャッシュされたトークン、機密ファイルの近くに置かれ得ます。
  • エージェントはアクセス可能なものすべてで動作するため 資格情報とデータ露出のリスクが増大: 多くの場合、正当な APIs を介して実行され、通常の自動化に紛れ込みます。
  • 攻撃者がエージェントの state/memory や構成を改変できる場合、反復的な悪性動作を引き起こし得るため 永続的な侵害が現実的 です。

Action items / next steps (minimum safe operating posture)

  1. 標準的なユーザー ワークステーションで OpenClaw を実行しない。 完全に分離された環境(専用 VM、コンテナー ホスト、または別の物理システム)でのみ評価してください。
  2. 権限を厳密にスコープした 専用の非特権資格情報 を使用し、機密データ セットへのアクセスは避けてください。
  3. skill のインストールは明示的な承認イベントとして扱う(サードパーティ製コードの実行と同等)。allowlist と来歴(provenance)チェックを維持してください。
  4. エージェントが外部コンテンツを閲覧する場合は 悪意ある入力が発生する前提 に立ち、予防だけでなく封じ込めと復旧可能性を優先してください。
  5. Microsoft Security のコントロール(Microsoft Defender XDR を含む)に整合した 継続的な監視とハンティング を有効化し、トークン アクセス、異常な API 利用、state/config 変更に注目してください。
  6. 再ビルド計画を用意する: 永続化を排除するため、ホストが頻繁に再イメージ/ローテーションを必要とする前提で運用してください。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。