Posted inSecurity

AIコードアシスタント使用時のよくあるセキュリティ脆弱性と自動検出方法

Security tutorial - IT technology blog
Security tutorial - IT technology blog

なぜAIコードアシスタントはひそかにコードベースへ脆弱性を持ち込むのか?

以前、自分のサーバーがSSHブルートフォース攻撃を受けて、深夜に緊急対応したことがある。それ以来、セキュリティは最初から設定し、コードレビューも丁寧に行うようにしてきた。しかしAIコードアシスタントを使い始めてから、コードレビューを以前より少なく行っていることに気づいた。怠惰になったわけではなく、AIがコードを生成するのが速すぎて、どれも「正しそう」に見えてしまうからだ。

問題はAIが劣っているわけではない。モデルは数百万のGitHubリポジトリから学習している——その大半はデモ、チュートリアル、急いで書かれたプロトタイプのコードで、セキュリティレビューを一度も受けていないものだ。AIはコンテキストに基づいて「最もよく見られる」パターンを選ぶのであって、「最も安全な」パターンを選ぶわけではない。この二つは往々にして一致しない。

リスクを生み出す3つの要因が重なっている:

  • トレーニングデータに安全でないコードが含まれている:GitHub上のパブリックリポジトリにはデモ、チュートリアル、プロトタイプ用に急いで書かれたコードが溢れており、セキュリティレビューを一度も受けていない
  • AIはあなたのスレットモデルを知らない:どのエンドポイントがインターネットに公開されているか、どのユーザーを信頼すべきか、どのデータが機密かをAIは知らない
  • コード生成速度が上がる = レビューが減る:AIが50行の関数全体を生成すると、開発者は自分で書いたコードのように一行一行読むのではなく、ざっと目を通すだけになりがち

AI生成コードでよく見られる5つのセキュリティ脆弱性

1. ハードコードされた認証情報とAPIキー

最も多く、そして最も頻繁に見られる脆弱性だ。典型的なシナリオ:AIがAWSキーのプレースホルダー付きサンプルコードを生成し、テストで動作確認したままコミット——キーの変更を忘れる。さらに悪いケースでは、AIがトレーニングデータの実際のコードからパターンを拾い、認証情報をそのままハードコードしてしまう。GitHub Secret Scanningでスキャンしてアラートを受け取れるが、その時点でキーはすでにgitヒストリーに残っている——ファイルを削除するだけでは不十分だ。

# AIが生成したコード — 安全でない
import boto3

s3 = boto3.client(
    's3',
    aws_access_key_id='AKIAIOSFODNN7EXAMPLE',
    aws_secret_access_key='wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
    region_name='ap-northeast-1'
)

# 正しい方法 — 環境変数を使用
import os

s3 = boto3.client(
    's3',
    aws_access_key_id=os.environ['AWS_ACCESS_KEY_ID'],
    aws_secret_access_key=os.environ['AWS_SECRET_ACCESS_KEY'],
    region_name=os.environ.get('AWS_REGION', 'ap-northeast-1')
)

2. SQLインジェクション

AIに「ユーザー名でユーザーを検索する関数を書いて」とプロンプトを送ると、最初のレスポンスのほとんどはf-stringをSQLに直接結合する方法を使う。特にフィルター、検索、レポート機能——外部からの入力を受け取る場所はすべてリスクがある。

# 危険 — SQLインジェクション
def get_user(username):
    query = f"SELECT * FROM users WHERE username = '{username}'"
    cursor.execute(query)
    return cursor.fetchone()

# 安全 — パラメータ化クエリ
def get_user(username):
    query = "SELECT * FROM users WHERE username = %s"
    cursor.execute(query, (username,))
    return cursor.fetchone()

3. コマンドインジェクション

AIに「シェルコマンドを実行する」や「IPアドレスにpingを送る」コードを書かせると、os.system()と文字列補間を組み合わせて使うことが多い——これは最も危険な脆弱性の一つだ。攻撃者は8.8.8.8; rm -rf /を渡すだけでサーバーを完全に破壊できる——追加の条件は何も必要ない。

# 危険 — コマンドインジェクション
import os

def ping_host(ip):
    os.system(f"ping -c 4 {ip}")

# 安全 — リスト引数を使用し、shell=Trueは絶対に使わない
import subprocess

def ping_host(ip):
    result = subprocess.run(
        ["ping", "-c", "4", ip],
        capture_output=True,
        text=True,
        timeout=10
    )
    return result.stdout

4. ファイルアップロード処理時のパストラバーサル

ファイルアップロードは一般的なユースケースで、AIは基本的なフローを上手く生成する。見落とされやすいのがパスのサニタイズだ。../../etc/passwdを渡すだけで、許可されたディレクトリ外のファイルを読み取れてしまう——複雑なエクスプロイトは一切不要だ。

# 危険 — パストラバーサル
UPLOAD_DIR = "/var/www/uploads"

def get_file(filename):
    path = os.path.join(UPLOAD_DIR, filename)
    with open(path, 'rb') as f:
        return f.read()

# 安全 — 実際のパスを解決してからプレフィックスを確認
import os

UPLOAD_DIR = "/var/www/uploads"

def get_file(filename):
    real_path = os.path.realpath(os.path.join(UPLOAD_DIR, filename))
    if not real_path.startswith(os.path.realpath(UPLOAD_DIR) + os.sep):
        raise ValueError("Path traversal detected")
    with open(real_path, 'rb') as f:
        return f.read()

5. 脆弱な暗号アルゴリズムや危険な関数の使用

MD5は一般的なGPUでも数秒でクラックできる——それでもAIはパスワードにMD5を提案する。古いコードに頻繁に登場するパターンだからだ。SHA1も大差ない。pickleeval()はさらに危険だ:ユーザー入力からpickleをデシリアライズすると任意コード実行につながる——追加の条件は何も必要ない。

# 危険 — MD5でパスワードをハッシュ化
import hashlib
hashed = hashlib.md5(password.encode()).hexdigest()

# 安全 — bcryptとsaltを使用
import bcrypt
hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt())

# 危険 — 信頼できないデータのpickle(任意コード実行!)
import pickle
data = pickle.loads(user_input)

# 安全 — JSONを使用
import json
data = json.loads(user_input)

自動セキュリティスキャンツールの設定

目視レビューだけでは不十分だ——特にAIがコードを高速で生成するため、じっくり読む時間がない。開発ワークフローの中に自動スキャンツールを設定する必要がある。

Banditのインストール — Pythonセキュリティスキャナー

pip install bandit

# プロジェクト全体をスキャン
bandit -r ./src

# 高深刻度のエラーのみ表示
bandit -r ./src -ll -ii

Semgrepのインストール — 多言語スキャン

pip install semgrep

# デフォルトのセキュリティルールセットで実行
semgrep --config=p/security-audit ./src

# OWASP Top 10ルールセットで実行
semgrep --config=p/owasp-top-ten ./src

TruffleHogのインストール — 漏洩したシークレットの検出

# Gitヒストリー全体をスキャンしてコミット済みシークレットを検索
docker run --rm -v "$PWD:/pwd" trufflesecurity/trufflehog:latest \
  git file:///pwd --only-verified

# または直接インストール
pip install trufflehog
trufflehog git file://. --only-verified

pre-commitフックの設定 — コミット前にエラーをブロック

CI/CDがエラーを検出するまで待つのではなく、コミットのたびに自動スキャンするpre-commitフックを設定しよう。問題が検出された時点でコミットを即座にブロックする——問題のあるコードがリモートに上がる道を塞ぐ。

pip install pre-commit

プロジェクトルートに.pre-commit-config.yamlファイルを作成:

repos:
  - repo: https://github.com/Yelp/detect-secrets
    rev: v1.4.0
    hooks:
      - id: detect-secrets
        args: ['--baseline', '.secrets.baseline']

  - repo: https://github.com/PyCQA/bandit
    rev: 1.7.5
    hooks:
      - id: bandit
        args: ["-ll", "-ii"]
        files: .py$

  - repo: https://github.com/returntocorp/semgrep
    rev: v1.45.0
    hooks:
      - id: semgrep
        args: ['--config=p/security-audit', '--error']
# フックを有効化
pre-commit install

# 現在のすべてのファイルで試しに実行
pre-commit run --all-files

プロジェクト用カスタムSemgrepルールの追加

プロジェクト固有のパターンがある場合は、独自のルールを作成して正確にケースを検出しよう:

# .semgrep/custom-rules.yaml
rules:
  - id: no-string-format-sql
    patterns:
      - pattern: |
          $CURSOR.execute(f"...{$VAR}...")
      - pattern: |
          $CURSOR.execute("..." + $VAR + "...")
    message: "文字列補間を使用したSQLクエリ — SQLインジェクションのリスクがあります"
    languages: [python]
    severity: ERROR

結果の確認とCI/CDへの統合

手動フルセキュリティスキャンの実行

# 3つのツールをすべて実行してレポートを保存
bandit -r ./src -f json -o bandit-report.json
semgrep --config=p/security-audit ./src --json > semgrep-report.json
trufflehog git file://. --only-verified --json > secrets-report.json

# Banditのエラー数をすばやく確認
python3 -c "
import json
with open('bandit-report.json') as f:
    d = json.load(f)
totals = d['metrics']['_totals']
print(f'HIGH: {totals[\"SEVERITY.HIGH\"]}, MEDIUM: {totals[\"SEVERITY.MEDIUM\"]}')
"

GitHub Actionsへの統合

# .github/workflows/security-scan.yml
name: Security Scan

on: [push, pull_request]

jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0  # TruffleHogにはフルのgitヒストリーが必要

      - name: Run Bandit
        run: pip install bandit && bandit -r ./src -ll -ii

      - name: Run Semgrep
        run: pip install semgrep && semgrep --config=p/security-audit ./src --error

      - name: Run TruffleHog
        uses: trufflesecurity/trufflehog@main
        with:
          path: ./
          base: main
          head: HEAD
          extra_args: --only-verified

AIコードを正しくレビューする習慣

自動ツールは既知の脆弱性を検出できるが、すべてではない。あわせて持つべき習慣もある:

  • コードを受け取った後にAIにセキュリティについて質問する:「このコードのセキュリティリスクは何ですか?」というプロンプトを追加しよう——直接質問すればAIは弱点を指摘できることが多いが、聞かなければ自発的には教えてくれない
  • ユーザー入力を受け取る箇所に特に注意する:フォームフィールド、URLパラメータ、ファイルアップロード、APIペイロード——これらが最も注意深く読むべきエントリーポイントだ
  • AIが提案する依存関係のバージョンを確認する:AIは既知のCVEがある古いバージョンを推奨することが多い。常にpip auditまたはnpm auditで確認しよう
  • 一時的であってもシークレットは絶対にコミットしない:Gitヒストリーは永遠に残る——最初から.env.gitignoreを使い、例外なし

AIコードアシスタントが開発を加速させるのは本当だ——しかしガードがなければ、脆弱性の生成も同様に加速する。上記のツールを一度設定してしまえば、パイプラインが永遠に自動で動き続ける。最初からクリーンなコミットを積み重ねる方が、深夜2時のインシデント対応よりずっといい。

Share:
Tags: