セキュリティ

Claudeのメモリから氏名や勤務先を盗み出す攻撃手法が発見される、ウェブ閲覧機能を悪用して外部サイトへ送信


AIアシスタント「Claude」のウェブ閲覧機能を悪用し、メモリに保存された氏名や勤務先などの個人情報を、ユーザーに気付かれないまま外部サイトへ送信させる攻撃手法をセキュリティ研究者のAyush Paul氏が報告しました。Paul氏によると、問題はAnthropicに報告され、記事作成時点で外部ページ内のリンクをClaudeがたどれないようにする対策がすでに施されています。

The Memory Heist
https://www.ayush.digital/blog/the-memory-heist

Claudeには、過去の会話を要約して新しい会話に反映する機能と、必要に応じて会話履歴を検索する機能があります。これによってClaudeはユーザーの事情を踏まえた回答が可能になりますが、長期間の会話から氏名や勤務先、出身地、仕事上の情報、個人的な悩みなどを含む詳細な人物像が蓄積される可能性があります。


Paul氏が着目したのは、Claudeがウェブサイトの内容を読み取るために使用していた「web_fetch」というツールです。web_fetchは基本的にウェブページから情報を取得する読み取り専用の機能ですが、Claudeが攻撃者の管理するサーバーへアクセスすれば、そのアクセス先のURLをサーバー側で記録できます。

ただし、Claudeは任意に生成したURLへ自由にアクセスできるわけではなく、アクセスできるのはユーザーが直接指定したURL、ウェブ検索結果に含まれるURL、または直前に取得したページからリンクされているURLに制限されています。

Paul氏はこのうち、「取得済みページ内のリンクをたどれる」という仕組みを利用しました。攻撃用サイトに「a」「b」「c」といった文字ごとのリンクを並べ、Claudeに文字を1つずつ選択させることで、選ばれたリンクの経路から情報を復元できる仕組みを構築しました。

例えば、Claudeが「a」「ay」「ayu」「ayus」「ayush」と順番にリンクをたどると、サーバー側には各URLへのアクセス履歴が残ります。これにより、通常は外部へ送信できないメモリ内の文字列を、リンクの選択という形に変換して少しずつ持ち出せたとPaul氏は説明しています。


しかし、Claudeに露骨に個人情報の送信を要求すれば、不審な指示として拒否される可能性があります。そこで、Paul氏は攻撃用サイトを一般的なコーヒーショップのウェブサイトに見せかけ、AIアシスタントがサイトへアクセスするには利用者の名前を入力して認証する必要があるという偽の案内を表示しました。


このサイトは通常のブラウザからアクセスしたユーザーには普通のコーヒーショップを表示する一方、「Claude-User」というユーザーエージェントを検出した場合だけ偽の認証画面を表示する仕組みを採用。そのため、ユーザー自身がサイトを確認しても異常に気付きにくく、Claudeだけが攻撃用の指示を受け取る状態になっていました。


Paul氏が実際のコーヒーショップのURLに攻撃用URLを混ぜてClaudeに比較を依頼したところ、Claudeは本人の許可を求めることなく、氏名を1文字ずつリンクとして送信したとのことです。さらに偽サイトから追加情報を要求させることで、現在の勤務先や、銀行などの本人確認に利用される可能性がある出身都市まで送信させることに成功したと報告されています。


出身都市については、Paul氏が過去の会話で直接伝えていた情報ではありませんでした。Claudeは、Paul氏が高校時代に設立したハッカソン「Queen City Hacks」に関する記憶から、「Queen City」がノースカロライナ州シャーロットの通称であると推論し、出身都市としてシャーロットを選択したとのことです。


攻撃用ページを検索結果の上位に表示させれば、ユーザーがURLを直接Claudeへ渡さなくても攻撃が成立する可能性も指摘されています。Claudeが学習データに含まれない新しい話題について自動的にウェブ検索を行い、検索結果から攻撃用サイトへアクセスした場合、同様の情報流出が起こり得るというわけです。

Paul氏は、この問題をAnthropicのHackerOneバグ報奨金プログラムを通じて報告しました。Anthropicは問題を社内でも把握していたものの、報告時点では修正しておらず、Paul氏に報奨金は支払われなかったとのことです。

その後Anthropicは、web_fetchが外部ページ内のリンクをたどる機能を無効化しました。記事作成時点では、ウェブ検索の結果に含まれるURLとユーザーが直接指定したURLにアクセス先を制限することで、文字単位の情報送信経は封じられたとされています。

Paul氏は、今回メモリを標的にしたのは攻撃を実証しやすかったためだと説明しています。同様の仕組みが成立する環境では、ClaudeがアクセスできるGoogleドライブやメール、外部サービスと接続するMCPなどから情報を取得し、持ち出される危険性も考えられると警告しています。

・関連記事
Claude Codeがユーザーの接続経路を「日付の書式を変更する」という手法で記録していたとの指摘、「2026-06-30」「2026/06/30」といった書式の違いで見分ける仕組み - GIGAZINE

AIブームに便乗した犯罪が急増、ChatGPTやClaudeの名前で認証情報を盗む手口をMicrosoftが分析 - GIGAZINE

Anthropicが「サイバー攻撃はすでにAIで自動化されている」と報告 - GIGAZINE

AIがスプレッドシートに勝手に数式を挿入して機密データを外部送信してしまう脆弱性が発見される - GIGAZINE

AIエージェントが本番環境のデータベースとバックアップを全破壊してしまったことを自白 - GIGAZINE

AIによるセキュリティリスクがあるとしてオープンソースソフトウェア「Cal.com」がクローズドへ移行決断 - GIGAZINE

in AI,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article An attack method has been discovered tha….