個人向けAIエージェント「OpenClaw」の設定ファイルがマルウェアに窃取される事例が初確認

個人のデジタル作業を自動化するAIエージェント「OpenClaw」の利用が広がる中、その設定ファイルが情報窃取型マルウェアの標的となった初の実感染事例が確認された。AIエージェントは生産性を飛躍的に高める可能性を秘めるが、その「鍵」となる設定情報の管理には、従来のソフトウェア以上に慎重なセキュリティ対策が求められる局面が来たと言える。

何が起きたのか：OpenClawの「鍵」が盗まれた

セキュリティ企業のHudson Rockによれば、2026年2月13日に発生したマルウェア感染事例において、個人向けAIエージェント「OpenClaw」の設定ファイル「openclaw.json」が窃取されたことが確認された。これは同種のAIエージェントツールを標的とした、公に確認された初の実被害事例とみられる。

窃取された設定ファイルには、編集されたメールの内容、ワークスペースへのパス、そして高エントロピー（推測が困難）なゲートウェイ認証トークンが含まれていた。このトークンは、OpenClawが外部サービスやリソースと安全に通信するための重要な「合言葉」のようなものだ。

マルウェアの手口とそのリスク

今回使用されたマルウェアは、Vidarという情報窃取型マルウェアの亜種とみられている。重要な点は、このマルウェアがOpenClawを特別に狙って設計されたものではなかったことだ。Hudson Rockの分析によれば、マルウェアは一般的なファイル窃取ルーチンに従い、特定の拡張子（.jsonなど）や特定のパスにあるファイルを探して窃取する動作をしており、その過程で偶然、OpenClawの設定ファイルも標的に含まれてしまったとされる。

しかし、結果的に生じるリスクは深刻だ。設定ファイルを入手した攻撃者は、被害者のローカル環境で動作するOpenClawインスタンスへのリモート接続を試みたり、認証トークンを悪用して不正なリクエストを偽装したりする可能性があった。つまり、AIエージェントにアクセスされることで、メールの自動処理やファイル操作、さらには連携する他のサービスへの不正アクセスの窓口が開かれてしまう危険性があったのだ。

AIエージェント利用における新たなセキュリティ課題

この事例は、生成AIや自律型エージェントの利用が一般化する中で、従来はあまり注目されていなかった新たなリスク表面化を示している。具体的には以下の2点が挙げられる。

第一に、設定ファイルの価値の高さだ。OpenClawのような高度なAIエージェントは、ユーザーの作業内容や連携サービスへのアクセス権限を設定ファイルに集約して管理する。このファイルは、ユーザーのデジタルワークフローそのものへの「マスターキー」となり得る。従来のマルウェアがパスワードやクレジットカード情報を狙うのと同様に、この「マスターキー」が新たな標的となった。

第二に、「一般的な」マルウェアによる偶発的標的化だ。専用設計のマルウェアでなくとも、汎用的な情報窃取型マルウェアの標的リストに、AIエージェントの設定ファイルパスや拡張子が追加されるだけで、同様の被害が広がる可能性がある。これは、セキュリティ対策を「特定の脅威」から「設定情報という資産」そのものの保護へと視点を転換させる必要があることを意味する。

ユーザーが今すぐ取るべき対策

現在OpenClawや類似のローカル動作型AIエージェントを利用しているユーザーは、以下の点を確認すべきだ。

• 設定ファイルの保管場所の確認と保護：設定ファイル（openclaw.jsonなど）が保存されているディレクトリへのアクセス権限を最小限に設定する。可能であれば、定期的なバックアップとともに、重要なトークン情報の定期的な更新を検討する。
• セキュリティソフトの更新とフルスキャン：使用しているセキュリティソフトを最新の状態に保ち、システム全体のスキャンを実施する。情報窃取型マルウェアは既知の手法を用いることが多いため、定義ファイルの更新は有効だ。
• 最小権限の原則の適用：OpenClawのエージェントに与える権限（例えば、メールボックスへのフルアクセス、特定のクラウドストレージへの書き込み権限など）を、本当に必要な範囲に限定する。万が一設定が漏洩した場合の被害を最小化できる。

例えば、メールの自動仕分けだけを行わせるのであれば、メールの「送信」権限や他のフォルダへの「削除」権限は必ずしも必要ない。このように、エージェントの「できること」と「実際にやらせること」を明確に区別して設定することが、実用的な防御策となる。

AIエージェント時代のセキュリティを考える

今回のOpenClawの事例は、単一のツールの問題というよりも、「AIが自律的に動作する環境」全体に共通する潜在的な脆弱性を浮き彫りにした。同様のリスクは、他の個人向けAIエージェントツールや、高度な設定ファイルを用いるローカルLLM（大規模言語モデル）連携ツールにも当てはまる可能性が高い。

今後、AIエージェントの機能がさらに高度化し、より多くの個人情報や業務プロセスにアクセスするようになれば、その設定や認証情報の価値はさらに高まる。開発者コミュニティには、設定情報の暗号化保存、多要素認証の導入、不審なアクセスパターンの検知など、ツール自体のセキュリティ機能強化が求められるだろう。

一方でユーザーは、便利なツールを導入する際に、そのツールがどのような情報にアクセスし、どこに設定を保存するのかを理解する「セキュリティリテラシー」がより一層重要になる。AIエージェントは強力な「デジタル執事」だが、その執事に預ける「家の鍵」の管理は、これまで以上に慎重に行う必要がある時代が来ている。