開発者なら誰しも、GitHub からよさそうなリポジトリを見つけて、とりあえずクローンして開いてみる――そんな何気ない動作を一日に何度も繰り返しているはずです。けれど、その「開いてみる」という一瞬が、自分のクラウド環境を丸ごと差し出す行為になっていたとしたら。今回明らかになった Amazon Q Developer の脆弱性は、まさにそこを突くものでした。怪しいファイルを実行したわけでも、パスワードを抜かれたわけでもない。ただフォルダを開いただけ。AI が「気を利かせて」勝手に設定を読み込んでくれる、その親切心こそが落とし穴になっていた、という話です。便利になればなるほど、私たちが無意識に手渡しているものは増えていく。その現実を、静かに、しかし鋭く突きつけてくる一件です。
Amazonの AI コーディングアシスタント「Amazon Q Developer」に、高深刻度の脆弱性が見つかりました。
クラウドセキュリティ企業 Wiz Research が発見・報告したもので、CVE-2026-12957 と CVE-2026-12958 の2件が採番されています。攻撃者は、開発者に悪意あるリポジトリを開かせ、ワークスペースを信頼させることで、任意コードの実行とクラウド認証情報の窃取を成立させられました。
根本原因は、Amazon Q が .amazonq/mcp.json 内の MCP(Model Context Protocol)サーバー設定を、同意確認や信頼性検証を経ずに自動実行していた点にあります。起動されたプロセスが開発者の環境変数を継承するため、AWS の認証情報や API キー、SSH エージェントのソケットまでが流出し得ました。影響範囲は Language Servers for AWS 1.69.0 未満、Amazon Q Developer for VS Code 2.20 未満などに及びます。なお厳密には、自動実行/任意コード実行に関わるのが CVE-2026-12957(1.65.0 未満が対象)、シンボリックリンク検証の欠如によるワークスペース境界外への書き込みに関わるのが CVE-2026-12958(1.69.0 未満が対象)です。
この脆弱性は Wiz Research のマオール・ドカニアンが発見し、2026年4月20日に Amazon へ報告。Amazon は同年5月12日に初期修正を展開し、6月23日に Security Bulletin 2026-047-AWS を公開しました。Wiz Research は6月26日に技術詳細を一般公開しています。Check Point Research は Claude Code に、OX Security は Windsurf に、同種の脆弱性を確認しています。
From: Amazon Q Vulnerability Let Attackers Execute Code and Access Sensitive Cloud Environments
【編集部解説】
まず押さえておきたいのは、この脆弱性が「攻撃された」事案ではなく、Wiz Research が研究の過程で発見し、Amazon と協調して修正にこぎつけた「予防的な発見」だという点です。複数の報道によれば、現時点で実際に悪用された痕跡は確認されておらず、米CISA の評価でも公開された悪用事例は「なし」とされています。読者のみなさんがすでに最新版を使っているなら、慌てる必要はありません。
そのうえで、なぜ innovaTopia がこの一件を取り上げるのか。それは、これが単独の不具合ではなく、AI コーディング支援ツール全体に通底する「構造的な弱点」の表れだからです。
問題の核心は MCP(Model Context Protocol)にあります。MCP は、AI アシスタントがデータベースや API、ビルドツールといった外部のリソースに手を伸ばすための「共通規格」です。便利さの源泉である一方、MCP サーバーを起動するということは、開発者のマシン上で実際にコマンドを実行することを意味します。本来そこには「ユーザー本人の明示的な同意」という関門が必要でした。
ところが今回の Amazon Q は、リポジトリ内に置かれた .amazonq/mcp.json を、同意確認も信頼性チェックもなしに自動で読み込み、実行していました。Wiz の研究者は「AI に任意のコマンド実行を許す以上、本来は情報に基づく同意(インフォームド・コンセント)が必須のはずだ」と指摘しています。その前提が崩れていたわけです。
被害を深刻にしたのが「環境変数の完全継承」という、もう一つの落とし穴です。起動されたプロセスが開発者の環境をまるごと引き継ぐため、AWS の認証情報や CLI トークン、API キー、SSH エージェントのソケットまでが攻撃者の手に渡り得ました。Wiz の概念実証では、aws sts get-caller-identity というたった一行のコマンドで、有効なクラウドセッションが外部サーバーへ流出することが示されています。パスワードも、二度目のサインインも不要——つまり「リポジトリを開いた瞬間に、ログイン中のクラウド環境が権限の範囲で侵害され得る」構図です。
ここで興味深いのは、Amazon と Wiz で「同意ステップ」の捉え方に食い違いがある点です。Amazon 側のアドバイザリーは「ユーザーはプロンプトが出た際にワークスペースを信頼する必要がある」と説明する一方、Wiz は「修正前は MCP サーバー起動に対する独立した同意ステップが存在しなかった」と報告しています。修正版ではこの溝が埋められ、Amazon Q は「信頼できない MCP サーバー」を検知し、実行前に開発者が拒否できるようになりました。
攻撃シナリオとして特に注目すべきは、偽の採用面接コーディングテストという手口です。これは北朝鮮系の脅威アクターが用いることで知られる常套手段で、応募者に攻撃者管理下のリポジトリをクローン・実行させます。AI コーディングツールの普及が、この古典的なソーシャルエンジニアリングに新たな威力を与えてしまう構図には、留意が必要でしょう。
そして本件の最も重要なメッセージは、これが Amazon Q 固有の失態ではないということです。同時期に、Claude Code、Cursor、Windsurf でも、MCP 設定やリポジトリ管理設定を通じた自動実行・信頼境界の不備に関わる類似の脆弱性が報告されました。プロジェクトのフォルダが AI エージェントを設定できるという利便性は、そのまま攻撃面(アタックサーフェス)になります。各社が独立に同じ轍を踏んだ事実は、業界全体で「ワークスペース設定の信頼性検証」を基盤要件として標準化すべき時期に来ていることを示しています。
長期的な視点で見れば、これは「AI エージェントに何をどこまで自動で許すか」という、これから数年の開発文化を左右する論点の最初の試金石です。生産性のために自動化を進めるほど、信頼境界の設計が問われる。innovaTopia が掲げる Tech for Human Evolution の観点からも、人間が判断の主体であり続けるための「同意の設計」こそが、AI 時代のセキュリティの中心命題になっていくと考えます。
【用語解説】
MCP(Model Context Protocol)
AI アシスタントが外部のツールやデータソース(データベース、API、ビルドツールなど)に接続するための共通規格である。AI に「外部の手足」を与える仕組みだが、MCP サーバーを起動することは開発者のマシン上でコマンドを実行することを意味するため、本来は利用者の明示的な同意が前提となる。
MCP サーバー
AI アシスタントが起動するローカルのプロセスを指す。データベースや API、システム資源へアクセスする能力を AI に与える。今回の事案では、この起動が同意なく自動で行われた点が問題となった。
CVE(Common Vulnerabilities and Exposures)
公開された脆弱性に一意の識別番号を割り当てる国際的な仕組みである。今回の CVE-2026-12957 と CVE-2026-12958 のように採番され、業界全体で同じ脆弱性を指し示す共通言語として機能する。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0から10の数値で示す国際的な評価基準である。本件の CVE-2026-12957 は CVSS v4.0 で 8.5 と評価され、「高深刻度(High)」に分類された。
任意コード実行(Arbitrary Code Execution)
攻撃者が標的のマシン上で意図したコードやコマンドを自由に実行できる状態を指す。本件では、悪意あるワークスペースを開き信頼した場合にこれが成立した。
環境変数の継承
あるプロセスが起動される際、親プロセスの環境変数を引き継ぐ仕組みである。本件では、自動起動された MCP サーバーが開発者の環境変数(AWS 認証情報など)をまるごと継承したため、被害が深刻化した。
パストラバーサル(Path Traversal)
本来アクセスが許されない範囲のファイルパスへ、不正に到達する攻撃手法である。CVE-2026-12958 では、シンボリックリンク検証の欠如により、ワークスペースの境界外への到達が可能だった。
シンボリックリンク(symlink)
別のファイルやディレクトリを指し示す特殊なリンクである。検証が不十分だと、リンクをたどることで想定外の場所へアクセスを誘導される危険がある。
タイポスクワッティング(Typosquatting)
正規のパッケージ名やドメイン名の打ち間違いを狙い、よく似た名前で悪意あるものを紛れ込ませる手口である。本件では、隠した .amazonq/ 設定を埋め込んだ偽パッケージが攻撃ベクトルとして挙げられた。
概念実証(PoC:Proof of Concept)
脆弱性が実際に悪用可能であることを示すための、最小限の実証コードや手順を指す。Wiz は aws sts get-caller-identity というコマンドで認証情報の流出を実証した。
責任ある開示(Responsible Disclosure)
脆弱性を発見した研究者が、一般公開の前に開発元へ非公開で報告し、修正の猶予を与えてから公表する慣行である。本件では、報告から公開まで約2か月の猶予が設けられた。
DPRK(朝鮮民主主義人民共和国/北朝鮮)
攻撃シナリオで言及された「偽の採用面接コーディングテスト」を用いることで知られる脅威アクターの出自を指す略称である。応募者に攻撃者管理下のリポジトリを実行させる手口が報告されている。
Language Servers for AWS
Amazon Q を VS Code、JetBrains、Eclipse、Visual Studio の各 IDE で動かす土台となる言語サーバーの実行環境である。4つのプラグインがいずれもこれを内包していたため、すべてが影響を受けた。
【参考リンク】
Amazon Q Developer(公式)(外部)
AmazonがAWS上で提供するAIコーディングアシスタントの公式ページ。本件で脆弱性が報告された製品である。
Wiz(公式)(外部)
本脆弱性を発見・報告したクラウドセキュリティ企業Wizの公式サイト。研究チームWiz Researchを擁する。
AWS Security Bulletins(公式)(外部)
AWSが公開するセキュリティ速報の一覧。本件はSecurity Bulletin 2026-047-AWSとして公開された。
Visual Studio Code(公式)(外部)
影響を受けたIDEの一つVS Codeの公式サイト。Microsoftが開発する代表的なコードエディタである。
【参考記事】
CVE-2026-12957 and CVE-2026-12958(AWS公式 Security Bulletin 2026-047-AWS)(外部)
公開日6月23日と、CVE-2026-12957は1.65.0未満・CVE-2026-12958は1.69.0未満という影響範囲を確認した一次情報である。
MCP Auto-Execution: From Git Clone to Cloud Compromise in Amazon Q VS Code Extension(Wiz Research)(外部)
発見者名・開示タイムライン・PoCの内容を確認した発見元の一次情報である。一般公開は6月26日である。
Amazon Q Developer Flaw Could Let Malicious Repos Run Code via MCP Configs(The Hacker News)(外部)
CVSS 8.5と明記し、修正は1.65.0だがAWSは1.69.0への移行を促すと報じた。本解説の事実確認の主軸とした。
Amazon Q flaw let booby-trapped Git repos execute code, swipe cloud creds(The Register)(外部)
修正版を1.65.0とするAWS声明や、Wizの「同意が必須」との主張を引用した記事である。
Amazon Q Developer flaw allows cloud credential theft via malicious repositories(Crypto Briefing)(外部)
初期修正1.65.0と推奨1.69.0の経緯、開示プロセスの時間軸を整理した記事である。
Amazon Q Flaw Enabled Cloud Credential Theft via Malicious Repositories(SecurityWeek)(外部)
AWS広報の公式コメントを直接引用し、自動更新で多くの場合対応不要とする点を伝えた記事である。
Amazon Q Developer Vulnerability Allows Code Execution via Malicious Repositories(GBHackers)(外部)
類似事案としてClaude Code・Cursor・Windsurfを挙げ、業界横断の広がりを裏付けた記事である。
【関連記事】
VS Code拡張機能4つに深刻な脆弱性、CursorやWindsurfにも影響―累計1億2500万インストール
正規の人気拡張機能の欠陥がCursorやWindsurfにも波及した事例。AIコーディングツールへの影響という構図が今回と重なる一本。
Microsoft「AutoJack」警告|”localhostは安全”という常識が崩れた瞬間
開発者マシン上でRCEが成立する構造と、集約点への過信という論点が直結する直近の報道。
Anthropic「MCP」プロトコルにシステミックな脆弱性、1.5億ダウンロードに波及か
MCP自動実行が業界横断の構造的リスクである点を、規格そのものの設計から補強する総論。
【編集部後記】
新しいツールを入れるとき、リポジトリを開くとき、設定ファイルの一行一行に目を通している人は、正直なところほとんどいないと思います。私も含めて。AI が裏側でよしなにやってくれる――その快適さに慣れるほど、「何が起きているか分からないまま動いている」状態が当たり前になっていきます。
今回の脆弱性が怖いのは、攻撃の派手さではありません。むしろ逆で、あまりにも静かで、何の手応えもないところです。クリックもなければ警告もない。気づいたときには、もう認証情報は外へ流れている。便利さと引き換えに「気づく機会」そのものが奪われていく構図は、これからのAIツールすべてに通じる課題のように感じます。
とはいえ、悲観だけで終わらせたくはありません。今回は誰かが攻撃に使う前に研究者が見つけ、開発元が直し、こうして共有された。守る側の仕組みは、ちゃんと回っています。だからこそ私たちにできるのは、AI に任せきりにせず、ときどき立ち止まって「いま何を許可したんだろう」と覗いてみること。その小さな習慣が、結局いちばん効く防御なのかもしれません。
