OpenClaw の盗まれたコンフィグ・ファイルを取得:機密データの悪用と拡大する攻撃

Threat Actors Attacking OpenClaw Configurations to Steal Login Credentials

2026/02/17 CyberSecurityNews — パーソナル AI アシスタントの世界を標的とするサイバー犯罪者たちは、新たな攻撃対象領域を見出した。最近の調査により明らかになったのは、OpenClaw のコンフィグ・ファイルを標的にする脅威アクターが、機微な認証情報や個人データを窃取していることだ。それが示すのは、マルウェアの挙動における大幅な進化である。従来のブラウザ・ベースの認証情報窃取から、AI エージェントのアイデンティティと関連するデジタル・コンテキストの収集へと、彼らの狙いは移行している。

この種の攻撃が浮き彫りにするのは、日常業務への統合が進むパーソナル AI ツールが生み出すデータ流出の機会が、従来のパスワード窃取と比べて、はるかに魅力的な状況を作り出していることだ。

The infected machine's directory structure showing the exfiltrated OpenClaw workspace and configuration files (Source - Infostealers)
The infected machine’s directory structure showing the exfiltrated OpenClaw workspace and configuration files (Source – Infostealers)

窃取されたデータには、AI エージェントの動作を制御する重要コンポーネントが含まれている。

被害端末からの OpenClaw 環境データの流出を、Hudson Rock の監視システムが検知したことで、Infostealers のアナリストたちは、この攻撃を特定した。

侵害されたファイルには、被害者のローカル OpenClaw インスタンスへのリモート接続を可能にするゲートウェイ認証トークン、セキュアなペアリングおよび署名操作に使用される暗号鍵ペア、さらに、機微なアクティビティ・ログやカレンダー・イベントを保存するメモリ・ファイルが含まれていた。

この攻撃は、特化型モジュールを備えた標的型マルウェアとは異なり、”.openclaw” のような特定のディレクトリ名や機微な拡張子を広範に探索する、ファイル収集ルーチンを使用している。その結果として偶発的に取得されたのは、ユーザーの AI アシスタントの運用コンテキスト全体だった。

Snapshot of the exfiltrated openclaw.json, revealing authentication profiles and local gateway tokens (Source - Infostealers)
Snapshot of the exfiltrated openclaw.json, revealing authentication profiles and local gateway tokens (Source – Infostealers)

最も危険な点は、”device.json” の窃取である。このファイルには、ユーザー端末の公開鍵と秘密鍵の両方が含まれている。

これらの鍵は、OpenClaw エコシステム内での安全なペアリングを可能にする。しかし、攻撃者の手に渡れば、被害に遭った端末の名前でメッセージ署名を行うことが可能になる。その結果として、”Safe Device” セキュリティ・チェックを回避し、暗号化ログやペアリング済みクラウド・サービスへのアクセスが可能になり得る。

また、流出した “soul.md” ファイルおよびメモリ文書は、AI エージェントが学習した被害者の行動パターン/プライベート・メッセージ/今後の予定といった、生活情報の詳細な設計図を攻撃者に提供する。

攻撃メカニズムとデータ流出のプロセス

感染メカニズムは包括的なものであり、また、標的に対して被害を及ぼすものだ。

この情報スティーラーは、OpenClaw 用のモジュールを持たない。その代わりに、標準的なシークレットや機微データを探索する、既存のファイル走査機能に依存している。

マルウェアが被害端末内の価値ある情報を探索する際に取得したのは、コンフィグ・ファイル/認証トークン/暗号素材などを取り込んだ、OpenClaw のワークスペース・ディレクトリだった。

この機会主義的な手法が示すのは、特定のプラットフォーム向けの実装を持たない既存の情報スティーラーであっても、AI エージェント環境を侵害できることだ。

The 'soul.md' file, revealing the AI's behavioral boundaries and level of access to the victim's life (Source - Infostealers)
The ‘soul.md’ file, revealing the AI’s behavioral boundaries and level of access to the victim’s life (Source – Infostealers)

AI エージェントが業務環境で一般化するにつれ、この状況は急速に変化すると、セキュリティ専門家たちは予測している。

Chrome のブラウザ・データや Telegram 認証情報に対する、これまでの悪意の機能と同様に、マルウェア開発者たちが、これらファイルの復号/解析に特化した専用モジュールを開発する可能性が高い。

窃取された “openclaw.json” はエージェントの中枢である。このファイルには、被害者のメールアドレス/ワークスペース・パス/高エントロピーなゲートウェイ・トークンなどが含まれる。

これらの認証情報を悪用する攻撃者は、AI ゲートウェイに対する認証済みのリクエストを用いることで、クライアントを偽装できる。それが意味するのは、AI エコシステム内における被害者のデジタル・アイデンティティを、実質的に乗っ取れる可能性である。

AI エージェントを利用する組織および個人は、複数の防御策を講じる必要がある。特にコンフィグ・ディレクトリにおける不審なファイル・アクセス・パターンを監視すべきである。

機微なコンフィグ・ファイルを保存時に暗号化することで、流出時の平文での認証情報の露出を防止できる。認証トークンおよび暗号鍵の定期的なローテーションは、窃取済み認証情報を悪用する攻撃者の機会を限定する。

AI エージェントのゲートウェイ・アクセスを、認可済み端末に限定するネットワーク・セグメンテーションは、リモート悪用に対する追加の防御層となる。

AI アシスタントが実験的ツールから、生産性のために欠かせない基盤へと移行するにつれて、その侵害がもたらすセキュリティ影響は拡大し続ける。そのため、プロアクティブな防御戦略の重要性が、今後はさらに高まると推測できる。

今回のインシデントで明らかになったのは、OpenClaw のコンフィグ・ファイルが情報スティーラーにより探索/窃取されていた点です。原因は、”.openclaw” ディレクトリや “device.json”、”openclaw.json” などに保存された、認証トークン/公開鍵/秘密鍵/メモリ文書などが平文に近い形で存在していたことにあります。専用モジュールがなくても、既存のファイル走査機能だけで AI エージェントの運用コンテキスト全体が取得可能でした。その結果として、ゲートウェイ認証や Safe Device 検証を回避し、被害者になりすました不正アクセスが成立する状況が生まれています。ご利用のチームは、ご注意ください。よろしければ、InfoStealer での検索結果も、ご参照ください。