投稿者 global-ai-media 
先日、Visual Studio Codeの拡張機能として配布されていた「偽のChatGPTツール」が、開発者のソースコードを盗み出していたことが発覚しました。累計150万回以上インストールされたこの事例は、AI活用を急ぐ日本企業にとって「シャドーAI」や「ソフトウェアサプライチェーン」のリスクを再考する重要な契機となります。
150万人が騙された「便利なAIツール」の正体
世界中の開発者が利用するコードエディタ「Visual Studio Code(VS Code)」のマーケットプレイスにおいて、悪意のある拡張機能が多数配布されていたことがセキュリティ研究者によって明らかになりました。特に深刻だったのは「ChatGPT – 中文版」と「ChatGPT – ChatMoss」という2つの拡張機能です。
これらは一見すると、OpenAIのChatGPTをエディタ内で便利に使えるようにする正規のツール、あるいはそのローカライズ版のように見えます。しかし、その裏側では開発者が編集中のソースコードや環境変数(APIキーやパスワードなどを含む重要な設定情報)を外部サーバーへ不正に送信するプログラムが仕込まれていました。驚くべきは、これらが累計で150万回以上もインストールされていたという事実です。
この事件は、攻撃者が「AIへの関心の高さ」と「開発効率化への渇望」を巧みに利用し、企業の防御壁の内側にある「開発者のPC」を直接標的にしていることを示しています。
なぜエンジニアは不正な拡張機能を入れてしまうのか
日本国内の現場でも、エンジニアは常に生産性の向上を求められています。「コーディングをAIに手伝わせたい」「ドキュメント作成を効率化したい」という動機は極めて健全であり、ビジネスの競争力を高めるために推奨されるべきものです。
しかし、企業として「GitHub Copilot」や「Cursor」のような公式かつセキュアなAIコーディングツールの導入・契約が遅れている場合、エンジニアは個人判断で無料の代替ツールを探し始めます。マーケットプレイスで「ChatGPT」と検索し、星の数やダウンロード数が多いもの(今回のケースでは攻撃者が数字を偽装していた可能性もありますが)を安易にインストールしてしまうのです。
これは、いわゆる「シャドーIT」のAI版、「シャドーAI」の問題です。悪意のある拡張機能は、企業が導入しているファイアウォールやセキュリティソフトをすり抜け、信頼されたアプリケーション(この場合はVS Code)の一部として動作するため、検知が非常に困難です。
日本企業が直視すべき「シャドーAI」と情報漏洩リスク
日本企業にとって、このリスクは単なる技術的な問題にとどまりません。不正競争防止法における「営業秘密」の管理や、個人情報保護法の観点からも重大な懸念事項となります。
もし、開発中の未発表プロダクトのソースコードや、コード内にハードコーディングされた顧客データベースへのアクセスキーが流出した場合、その損害は計り知れません。特に、日本の組織文化として、現場の創意工夫を尊重するあまり、開発環境の個別のツール選定に対しては管理が緩やかになる傾向があります。しかし、AIツールが「外部と通信する」という性質を持つ以上、従来のローカルツールと同じ感覚で管理することは危険です。
ガバナンスと生産性の両立:禁止するだけでは守れない
では、企業はすべての拡張機能を禁止すべきでしょうか。それは現実的な解ではありません。開発者の手足を縛れば、生産性は低下し、優秀なエンジニアの離職を招く恐れすらあります。
重要なのは「禁止」ではなく「安全な選択肢の提供」です。企業として正式にセキュリティ評価を行ったAI開発ツールを契約し、全社的に展開することが、結果として怪しげな無料ツールへの依存を減らす最も効果的な対策となります。また、ネットワークレベルでの不審な通信の監視や、EDR(Endpoint Detection and Response)による挙動検知など、多層的な防御策を講じる必要があります。
日本企業のAI活用への示唆
今回の事例を踏まえ、日本の意思決定者やAI推進担当者は以下のポイントを再確認する必要があります。
- 開発環境の棚卸しと可視化: 社内のエンジニアがVS Codeやブラウザでどのような拡張機能を利用しているか、現状を把握できていますか? MDM(モバイルデバイス管理)やIT資産管理ツールを活用し、未許可のAIツール利用を可視化する仕組みが必要です。
- 「公認ツール」の迅速な提供: セキュリティリスクを理由にAI利用を禁止するのではなく、安全が確認された有償のエンタープライズ版(例:GitHub Copilot Businessなど)を会社経費で導入し、推奨ツールとして利用を促すべきです。これがシャドーAIへの最大の抑止力となります。
- サプライチェーンリスクとしての認識: オープンソースやマーケットプレイスのツールを利用することは、外部のコードを自社製品に取り込むことと同義です。AIモデルそのものの安全性だけでなく、それを利用するための「周辺ツール(Wrapper)」の信頼性を確認するプロセスを、開発ガイドラインに組み込む必要があります。
- 現場への啓蒙活動: 「ダウンロード数が多い=安全」ではないことをエンジニアに周知徹底する必要があります。特に生成AI関連のツールは、入力データ(コードやプロンプト)が外部に送信されるリスクが常にあることを前提とした教育が不可欠です。