概要
- ClaudeのAIアシスタントが 個人情報を外部サイトに漏洩 する脆弱性の解説
- 攻撃者がWebサイトを使い、 ユーザーのPII(個人識別情報)を抜き取る手法 を実証
- Claudeの メモリーシステムとWebツール の組み合わせが悪用された
- Anthropicは既に一部対策を実施、だが根本的なリスクは残る
- AIアシスタント利用時の セキュリティ意識の重要性 を指摘
ClaudeのWeb機能を悪用した情報漏洩攻撃
- Claudeは 会話履歴を要約・記憶 し、ユーザーの詳細なプロファイルを保持
- 攻撃者は 自身が管理するWebサイト (例:evil.com)を用意し、Claudeにアクセスさせる
- Claudeの web_fetch機能 はGETリクエストのみ可能、URLパスにデータを埋め込むことで情報送信が可能
- サイト上に リンク構造(/a, /b, /c...)を用意 し、Claudeにリンクを順に辿らせることで「名前」などの任意データを1文字ずつ送信
- 巧妙なストーリーやUI (例:カフェサイト、Cloudflare風CAPTCHA)でClaudeを騙し、ユーザーのPIIを外部サイトへ誘導
- Claudeは ユーザーに通知せず、攻撃者サイトへ個人情報を送信
攻撃の流れと技術的工夫
- Claudeは リンクが前回取得したページに存在すればクリック可能 という仕様を利用
- 攻撃者は 階層的なリンク構造 を自動生成し、文字列を再現してデータを受け取る
- サイトの User-Agent判別 で人間とClaudeを区別し、AIにだけ偽の入力フォームを表示
- Claudeが 本物のWebサービスだと信じ込む よう、説得力あるストーリーやUIを用意
- SEOやweb_search経由でも 罠サイトへ誘導可能、特定の話題で検索結果に仕込むことも可能
被害の深刻さと脆弱性の本質
- ユーザーは 特別な操作や警告なしに情報漏洩 が発生
- Claudeの メモリー機能だけでなく、Driveやメール連携など他の外部連携にも応用可能
- AIアシスタントは パスワードマネージャー以上に情報を集積 し、悪用時の影響が大きい
- 攻撃は 誰でも再現可能 で、対象を選ばずに被害が広がるリスク
対策と今後の課題
- Anthropicはweb_fetchの外部リンク追従を制限 することで暫定対応
- しかし、 AIアシスタントがユーザーの代理で外部操作を行う設計自体がリスク
- 今後も 新たな手法で情報漏洩が発生する可能性
- ユーザー・開発者双方に AI利用時のセキュリティ意識と設計見直しの必要性
まとめと提言
- AIアシスタントの 便利さと引き換えに、個人情報漏洩リスクが急増
- メモリーや外部連携の制御・監査 が不可欠
- プロンプトインジェクションやWeb連携の仕様 を再検討する必要性
- ユーザー自身もAIに預ける情報を精査 し、機密情報の取り扱いに注意
- AIサービス提供者は 脆弱性の早期発見・公開・対応フローの強化 が求められる