こんにちは。
最近、SNSで以下のような投稿を見かけませんでしたか?
「AIが自動でメール返信してくれる」「Slackの未読メッセージをまとめてくれる」「ローカルで動くからデータは外に出ない、安全だ」
投稿者は大抵、スクリーンショット付きで興奮気味。確かに、それだけであれば非常に魅力的に映りますよね。
その正体は Moltbot(モルトボット)。GitHubでわずか1ヶ月でスター数10万を突破し、現在世界で最も注目されるAIアシスタントです。
しかし先日、セキュリティ研究者から衝撃的な報告が上がりました。インターネット上に1,800件以上のMoltbot環境がパスワードなしで公開されており、ユーザーのメッセージやパスワードが誰でも閲覧可能な状態だったというのです。これは、決して他人事ではありません。
Moltbotって何?なぜみんなハマってるの?
まず概要ですが、MoltbotはPCにインストールして使用する無料のAIアシスタントです。最大のの特徴は、メールやSlack、WhatsApp、Signalなど日常使っているコミュニケーションツールに直接接続できる点です。従来のチャットボットとは異なり、常駐してあなたの代わりに作業をこなす「AIエージェント」として動作します。具体的には以下のようなタスクを自動化できます。
- 受信メールの自動判別と返信案の生成
- Slackの未読メッセージのサマリー作成
- カレンダーの予定管理
- ブラウザ操作の自動化
「ローカルで完結するからクラウドにデータが漏れない。安心だ」と考え、導入するユーザーが少なくありません。ところが、この「安心」が実は大きな罠だったことが判明しました。
1,862件の「鍵のかかっていない家」
2026年1月25日、セキュリティ研究者2名がインターネット上でMoltbotの管理画面をスキャンしました。その結果、パスワード保護なしで誰でもアクセス可能な管理画面が約1,009件検出されました。翌日、セキュリティ企業のKnosticが追加調査を実施したところ、対象数は1,862件に膨れ上がりました。
想像してみてください。1,862人分のメール履歴、Slackのやり取り、メッセージアプリの会話ログが、インターネット上で誰にでも閲覧可能だったという現実です。しかも、これらは単なる「閲覧」で終わるわけではありません。侵入者が以下の操作を自由に行うことができました。
- AIが処理したすべてのプライベートな会話の閲覧
- 平文で保存されたAPIキーやパスワードの盗み出し
- 接続済みアプリを介したなりすましメッセージ送信
- ホストマシン上でのコマンド実行
あるケースでは、エンドツーエンド暗号化を採用するSignalのアカウントに完全なアクセス権限が与えられたまま放置されていました。「暗号化で安全」と言っても、AIアシスタント側で管理画面の鍵が開け放しになっていれば、話になりません。
パスワードが「テキストファイル」に保存されている問題
ここで本題のセキュリティ課題に入ります。情報セキュリティの専門家が最も懸念しているのは、認証情報の保管方法です。Moltbotは、メールやSlackへの接続に使用するパスワード、APIキー、認証トークンを、PC内のテキストファイルに平文でそのまま保存する仕様になっています。暗号化も、セキュアなキーチェーン利用もありません。ただのテキストファイルです。
日本企業の業務環境に置き換えて考えてみましょう。社内Slackのトークン、業務メールのパスワード、GoogleカレンダーのOAuthトークン。これらがすべて、PC内の特定のフォルダに平文で並んでいる状態を想像してください。
セキュリティ企業Hudson Rockの報告によれば、RedLineやLummaといった情報窃取マルウェアが、すでにMoltbotの保存フォルダを標的とし始めているとのことです。加えて、日本の個人情報保護法改正により企業のアラート報告義務や罰則が強化されています。社員が自己判断で業務PCにMoltbotをインストールし、その保管フォルダ経由で顧客情報が流出した場合、看過できないリスクが生じます。
メール1通で突破された「5分間ハック」
Archestra AIのCEOであるMatvey Kukuy氏は、同社の脆弱性を実際に実証しました。手法は極めてシンプルです。Moltbotと連携しているメールアドレス宛てに、仕掛けを仕込んだメールを1通送信しただけです。
受信したメールには、人間には見えない隠しテキストが埋め込まれていました。MoltbotのAIがそれを自動で解釈・処理した瞬間、隠されたプロンプトに従いユーザーの秘密鍵が外部サーバーへ送信されてしまったのです。所要時間はわずか5分。ハッキングツールや高度な専門知識は不要で、メールを記述する能力だけで十分でした。
これは「プロンプトインジェクション」と呼ばれる攻撃手法です。OpenAIやAnthropicも「完全な防御は困難」と認めている課題ですが、通常のWebベースのAIアシスタントであればブラウザというサンドボックス内で完結するため被害は限定的です。一方でMoltbotはユーザーのPCその上で動作し、メール、ファイルシステム、メッセージアプリに直接アクセスできるため、リスクが桁違いに大きくなります。職場で「AIがメールを自動処理してくれる」と喜んでいる同僚がいたら、裏側でこうした脆弱性が潜んでいる可能性を頭に入れておくべきでしょう。
審査なしの「スキルストア」に毒入りプラグイン
Moltbotには「MoltHub」と呼ばれるスキルマーケットプレイスが用意されています。コミュニティ開発者が作成した拡張機能をインストール可能で、経費管理やSNS自動投稿など様々な機能が公開されています。
セキュリティ研究者のJamieson O’Reilly氏が、このマーケットプレイスのセキュリティテストを実施しました。悪意のあるスキルを自作してMoltHubに公開し、ダウンロード数を水増しして人気ツールのように装ったところ…わずか8時間で、7か国に在住する16名の開発者にインストールされました。
これが本物のマルウェアであれば、16台の端末でファイル侵入、データ窃取、バックドア設置が完了していた計算になります。さらにCiscoのセキュリティチームが別のスキル「What Would Elon Do?」を解析したところ、1つのパッケージから9件のセキュリティ問題が検出されました。うち2件は「重大」カテゴリに該当し、外部サーバーへデータを転送するコマンドが密かに仕込まれていたことが判明しました。
公開前のコードレビューも、自動セキュリティスキャンも存在しません。審査プロセスのないアプリストアです。日本のApp StoreやGoogle Playの厳格な審査基準を踏まえると、この運用がいかに危険な状態であるかは明白でしょう。
偽のVS Code拡張機能にスパイウェア
2026年1月27日、セキュリティ企業Aikidoが「ClawdBot Agent」というVS Code拡張機能を発見しました。
外観はプロフェッショナルでUIも洗練されており、実際に7つのAIプロバイダーに接続して動作します。しかし裏側では、遠隔操作ツール「ScreenConnect」を静かにインストールしていました。
VS Codeを起動するだけでバックグラウンドで起動し、隠しファイルをダウンロードして攻撃者のサーバーへ通信を開始します。さらに厄介なのは、ScreenConnect自体が正規のデジタル署名を持っているため、一般的なアンチウイルスソフトではほぼ検知されない点です。
Moltbot公式がVS Code拡張機能をリリースした事実はありません。これは話題のツールに便乗した偽物です。Microsoft側で削除措置が取られましたが、それまでに発生した被害の詳細は未だ不明です。
会社が把握していない「シャドーIT」の恐怖
ここからは、特に企業で働く方々に向けた重要な指摘です。
認証管理企業のToken Securityが発表したデータによると、企業顧客の22%で、IT部門の承認を得ずに従業員がMoltbotを利用していることが判明しました。
情シスへの申請もなく、個人判断で業務端末にインストール。社内Slack、業務メール、Googleカレンダーに接続。セキュリティレビューは実施されず、組織全体では把握できていません。日本企業が一般的に持つ情報セキュリティ管理体制を考えれば、これは極めて深刻な状況です。
Ciscoのセキュリティチームはこれを「悪夢そのもの」と表現していますが、誇張ではありません。Moltbotはファイルシステムへの読み書き、コマンド実行、スクリプトの実行権限を持っています。企業ネットワークに接続された端末の1台が侵害されれば、単なる個人レベルの情報漏洩で終わらず、組織全体を脅かす侵入口となります。
さらに厄介なのは、従来のエンドポイント保護(EPP)やDLP(情報漏洩防止)ツールでは検知が難しい点です。AIエージェントがメッセージアプリを介してデータを外部へ持ち出すという攻撃パターンは、従来のセキュリティ設計の想定外だからです。
日本では2022年の個人情報保護法改正以降、インシデント報告義務が厳格化されています。もし従業員のMoltbot経由で顧客データが漏洩した場合、個人情報保護委員会への報告、最大1億円の過料、そして何より企業の信頼喪失という連鎖的なリスクを招きます。
国家安全保障コミュニティからの警告
2026年1月29日、Legion IntelligenceのCEOであるBen Van Roo氏が、AIアシスタントに関する公開書簡を発表しました。
核心は、個人のメール、メッセージアプリ、位置情報をMoltbotに連携させると、「単一の侵害ポイントから全データへのアクセスを許してしまう」という点です。
同氏が指摘する典型的な利用パターンは非常に示唆深いです。
「1日目にカレンダー、2日目にメール、3日目にメッセージ…8日目にはもう全部繋いでいる」
利便性が、長年培ってきたセキュリティの意識をあっという間に崩壊させます。
これは軍事関係者だけの問題ではありません。企業の機密データを扱う立場にある方、取引先の個人情報に日常的に接する方であれば、誰しもが同様のリスクに晒されています。
Moltbotは「悪い」ツールなのか?
結論から言えば、単純に「悪」と切り捨てるのは早計です。
Moltbotが持つ技術自体は確かに優れています。メッセージアプリを横断するAIエージェントを、自前のPCで無料で動かせる。このコンセプト自体は非常に魅力的ですし、今回問題となった1,862件の公開設定ミスに対しては、すでに修正パッチが公開されています。
しかし真の問題は、特定の「製品」ではなく、この「運用パターン」そのものにあります。今後、同種のツールは次々と登場するでしょう。「メールに接続したい」「メッセージを整理したい」「ファイルにアクセスしたい」。どれも「プライバシーを保護する」と謳ってきます。そして肝心のセキュリティ水準は、最終的にユーザーのセットアップ能力に依存します。
大半のユーザーはセキュリティの専門家ではありません。ポート番号の意味?ファイアウォールの設定?OSSのソースコードレビュー?一般のビジネスパーソンにそれらを要求するのは現実的ではありません。しかし、それが現在の技術の現実です。
いますぐやるべきこと
すでに導入済みの方向け:
- インターネットからの直接アクセスをブロックしているか設定を確認する
- Dockerサンドボックスを有効化し、AIのプロセスがホストOSにアクセスする範囲を制限する
~/.moltbot/ディレクトリを確認し、平文で保存されている認証情報を精査する- スキルをインストールする際は、必ず動作内容を確認する
- 関連するAPIキーはすべてローテーション(再発行)する
導入を検討中の方向け:
- セキュリティモデルが十分に成熟するまで、導入を見送るのが賢明です
- 業務用のアカウントを個人のAIツールに連携させない
- 利便性と引き換えにどの程度のリスクを承知しているか、一度立ち止まって考える
情シス・セキュリティ担当の方へ:
- 社内ネットワーク上でMoltbotの稼働有無を調査する(監視対象ポート:18789)
- シャドーIT検知の対象リストにMoltbotを追加する
- 業務アカウントを個人AIツールと連携させる際のリスクについて、従業員向けに周知・教育を行う
本当に大切なこと
AIエージェントの普及は、準備が整っていようがなかろうが、確実に進行しています。Moltbotの件は、その序章に過ぎません。今後はスタートアップから大手テック企業まで、同様のツールが次々と市場に出回ることでしょう。
どのツールも同じジレンマを抱えています。エージェントの処理能力が高まるほど侵害時の被害は甚大になり、接続するサービスが増えるほど標的としての価値は高まります。さらに、セットアップが簡単になればなるほど、安全な運用が維持される確率は下がります。
「不審なメールのリンクはクリックしない」。この基本ルールを社内に根付かせるのに、IT業界は何年も費やしました。
次に私たちが学ぶべきは、「AIエージェントにデジタルライフの完全な鍵を預けない」という原則なのかもしれません。
AIを安全に活用するために
ローカルインストールのリスクを負わずにAIを活用したい場合は、ブラウザ上で動作するスキルを利用するのが確実です。導入不要で、すぐに使い始められます。
- セキュリティレビューチェックリスト生成 – セットアップ過程での脆弱性を監査
- Webアプリセキュリティ監査 – Webアプリケーションのセキュリティ状態をチェック
- プロフェッショナルメール作成 – 攻撃対象を拡大せずにAIを活用したメール作成
- システムプロンプト設計師 – 安全かつサンドボックス化されたAIワークフローを構築
その他のセキュリティ関連スキルはこちらからご覧いただけます。
最後までお読みいただき、ありがとうございました。この記事が、安全なAI活用の一助になれば幸いです。
