- Pwn2Own Berlin 2026で47件の未知の脆弱性が突破され、賞金総額が約2億円に達したこと
- OpenAI Codex・Anthropic Claude Code・LiteLLM・LM StudioなどAI開発ツールが次々と陥落したこと
- AI開発ツールが攻撃者に狙われやすい2つの技術的な理由
- 過去のTrustFall・IDEsasterといった研究との関係
- 日本の開発者や企業が今すぐできる5つの対策
あなたが毎日使っているAIコーディングツール。世界トップクラスのハッカーが、わずか数分で乗っ取れるとしたら、どう感じますか?
2026年5月、ドイツで開かれたハッキング大会で、それが現実になりました。何が起きて、なぜ起きて、私たちは何をすべきか。やさしく解説します。
Pwn2Own Berlin 2026とは?3日間で起きたこと
Pwn2Own(ポウントゥオウン)は、世界中のセキュリティ研究者が集まる「合法的なハッキング大会」です。
主催はトレンドマイクロのZero Day Initiative(ZDI)。参加者はまだ誰も知らない脆弱性(プログラムの欠陥)でソフトを攻撃し、成功すると賞金がもらえます。
2026年の大会は5月14日から16日まで、ドイツ・ベルリンで開催されました。
結果は衝撃的でした。3日間で47件もの「ゼロデイ脆弱性」(メーカーすら気づいていない欠陥)が突破されました。
賞金総額は約130万ドル(約2億円)に達しています。
内訳は、初日が24件で約52万ドル、2日目が15件で約39万ドル、3日目が8件で約39万ドルでした。
今年のテーマは「企業向け技術とAI」。つまり、AI関連の製品が主役だったのです。
陥落したAI開発ツール一覧
今回もっとも注目されたのは、私たちエンジニアが日常的に使うAI開発ツールが次々に破られた点です。
OpenAI Codex
OpenAIのコーディングAI「Codex」は、複数のチームに狙われました。
Compass Securityとdoyensec(maitai)の2チームが、それぞれ独立して攻撃に成功。各4万ドル(約620万円)を獲得しました。
さらに日本のIkotas LabsのSatoki Tsuji氏は、外部からの制御を悪用してCodexに不正な動作をさせ、攻撃対象のパソコン上で勝手に電卓アプリを次々起動させてみせました。
これで2万ドル(約310万円)を得ています。
Anthropic Claude Code
Anthropicの「Claude Code」も標的になりました。
Compass Securityのチームが攻撃に成功し、2万ドル(約310万円)を獲得しています。
これは過去に報告された脆弱性と一部重なる「コリジョン(重複)」扱いでした。それでも実際に破れた事実は変わりません。
LiteLLM・LM Studio・その他
AI開発を支える周辺ツールも軒並み陥落しました。
- LiteLLM:k3vg3n氏がSSRFとコード注入など3つの欠陥をつなげて突破。4万ドル(約620万円)
- LM Studio:STARLabs SGが攻略し4万ドル(約620万円)
- NVIDIA Megatron Bridge:2チームが各2万ドル(約310万円)
- Chroma(ベクトルデータベース):haehae氏が2万ドル(約310万円)
AIアプリの裏側を支える部品まで、まるごと突破されたのです。
なぜAI開発ツールはこんなに狙われやすいのか
「最新のAIツールなのに、どうして簡単に破られるの?」と疑問に思いますよね。理由は大きく2つあります。
理由1:プロンプトインジェクション
プロンプトインジェクションとは、AIへの指示文に悪意ある命令をこっそり混ぜ込む攻撃です。
AIコーディングツールは、ファイルやWebページの内容を読み込んで自動で作業します。
その読み込んだ文章の中に「このパスワードを外部へ送れ」といった隠し命令があると、AIが素直に従ってしまうことがあります。
専門家は「プロンプトインジェクションに完全な解決策はない」と認めています。設計上、根の深い問題なのです。
理由2:強すぎる権限と「信頼」の穴
AI開発ツールは、あなたのパソコンでファイルを編集し、コマンドを実行できます。便利な反面、乗っ取られると被害が大きくなります。
過去には「TrustFall」という研究で、悪意ある設定ファイルを置くだけで、Claude Code・Cursor・Gemini CLI・GitHub Copilotがワンクリックで乗っ取られると示されました。
原因は、AIが外部ツールを呼ぶ仕組み(MCP)で、信頼の判定をツールの「名前」だけで行っていた点です。
中身を入れ替えても、名前が同じなら通ってしまったのです。
過去の研究との比較:これは突然の話ではない
実は、AI開発ツールの危険性は今回が初めてではありません。
2025年末には、研究者がAI IDE(コードを書く統合環境)15製品で37件もの脆弱性を発見し、「IDEsaster」と名付けて公開しました。
さらに「TrustFall」では、複数の主要ツールが共通の弱点を抱えていることが判明しています。
3つの出来事を並べると、流れがよく見えます。
- IDEsaster(2025年末):AI IDE 15製品で37件の脆弱性を発見した調査報告
- TrustFall:Claude Code・Cursor・Copilotなどに共通するワンクリック乗っ取りの実証
- Pwn2Own Berlin 2026:公開大会で実際に突破し、賞金つきで「再現性」を証明
つまり今回は、以前から指摘されていたリスクが、公開の舞台で改めて証明された出来事です。新しい驚きというより、警鐘の積み重ねと言えます。
日本の開発者・企業への影響
「海外の大会の話でしょ?」と思うかもしれません。でも、これは日本にとっても他人事ではありません。
理由は3つあります。
第一に、今回破られたCodex・Claude Code・Cursorは、日本のエンジニアやIT企業でも広く使われています。開発現場の生産性を支える定番ツールです。
第二に、攻撃に成功した研究者の中には日本のIkotas LabsのSatoki Tsuji氏がいました。日本にも高い技術を持つ研究者がいる一方、攻撃者側も同じ技術を持ち得るということです。
第三に、日本企業は今まさにAIコーディングツールの全社導入を進めています。
たとえば、ある国内SIerが数百人の開発チームにAIツールを配ったとします。1台でも乗っ取られれば、顧客の機密コードやクラウドの鍵が一気に流出しかねません。
便利だからと無防備に広げると、リスクも同じ速度で広がります。
私たちが今すぐできる5つの対策
では、どう守ればいいのでしょうか。専門家が推奨する対策を、5つにまとめました。
- ① 隔離環境で動かす:AIツールはdevcontainerや使い捨てVM、WSLなど、本番と切り離した環境で実行する
- ② 管理者権限で動かさない:SSH鍵やクラウドの認証情報に触れられる状態で動かさない
- ③ 許可リストで制限:会社ではAppLockerやIntuneなどで、使ってよいツールを限定する
- ④ 設定ファイルを点検:知らないプロジェクトの設定ファイル(.codexなど)を不用意に開かない
- ⑤ アップデートを最優先:メーカーが修正版を出したらすぐ適用する
完璧な対策はありません。でも、層を重ねれば「簡単な攻撃」は防げます。攻撃者の手間を増やすことが、最大の防御になります。
よくある質問(FAQ)
Q1. Claude CodeやCodexはもう使わない方がいいですか?
A. 使わない必要はありません。隔離環境で動かし、最新版に保ち、権限を絞れば、リスクは大きく下げられます。便利さと安全はバランスの問題です。
Q2. ゼロデイ脆弱性とは何ですか?
A. メーカーすら気づいておらず、修正パッチがまだ存在しない欠陥のことです。「対策ゼロ日目」という意味で、攻撃者にとって特に価値があります。
Q3. Pwn2Ownで見つかった欠陥はすぐ悪用されますか?
A. すぐにではありません。Pwn2Ownには90日間の非公開ルールがあり、その間にメーカーが修正します。だからこそ素早いアップデートが重要です。
Q4. 個人で趣味のプログラミングをする分には安全ですか?
A. 油断は禁物です。個人でもクラウドの鍵やパスワードを盗まれる恐れがあります。最低限、使い捨て環境で動かす習慣をつけましょう。
Q5. 一番危険な攻撃は何ですか?
A. プロンプトインジェクションです。完全な対策がなく、AIが「悪意ある指示」と「正しい指示」を見分けにくいためです。
まとめ
今回のポイントを振り返ります。
- Pwn2Own Berlin 2026で47件の脆弱性が突破され、賞金は約2億円に達した
- Codex・Claude Code・LiteLLM・LM StudioなどAI開発ツールが軒並み陥落した
- 原因はプロンプトインジェクションと、強すぎる権限・信頼の穴
- これはTrustFallやIDEsasterなど、過去の警鐘の延長線上にある
- 日本の開発者・企業も無関係ではなく、隔離・権限制限・即アップデートが鍵
まずは今日から、AIツールを「使い捨ての隔離環境」で動かす習慣を始めてみてください。
参考文献
- BleepingComputer – Hackers earn $1,298,250 for 47 zero-days at Pwn2Own Berlin 2026
- Security Affairs – Pwn2Own Berlin 2026, Day One: AI products fall
- CyberInsider – Pwn2Own Berlin 2026 concludes with $1.29 million paid for 47 zero-days
- Adversa AI – TrustFall: one-click RCE in Claude, Cursor, Gemini CLI and Copilot
- The Hacker News – Researchers Uncover 30+ Flaws in AI Coding Tools Enabling Data Theft and RCE
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
