「Claudy Day」攻撃チェーン:AnthropicのClaudeにおける脆弱性の公開
Oasis Securityの研究者によって、AnthropicのAIアシスタントであるClaudeのユーザーを標的とした、巧妙で多段階の攻撃チェーンが明らかにされました。「Claudy Day」と名付けられたこの発見は、生成型AI(Generative AI)セキュリティにおいて極めて重要でありながら見落とされがちな要素、すなわち配信メカニズムの整合性と、ユーザー入力とモデル指示の間の隠された境界を浮き彫りにしています。
3つの異なる脆弱性の組み合わせを悪用するこの攻撃により、脅威アクターはユーザーの会話履歴から機密データを密かに流出させることができます。特筆すべきは、この攻撃が従来のマルウェアの展開、フィッシングメール、または不審なファイルのダウンロードを必要としない点です。その代わりに、AIプラットフォームの対話フロー固有の設計を悪用し、AI自身の機能をデータ流出エンジンへと変貌させます。
「Claudy Day」の構造を理解する
「Claudy Day」攻撃の巧妙さ、そして危険性は、その単純さにあります。それは、単独では軽微または「影響が少ない」と見なされる可能性のある3つの欠陥を、静かなデータ窃盗を容易にする一貫したパイプラインへと統合しています。Oasis Securityの研究チームによると、この攻撃パイプラインにより、脅威アクターはGoogle広告を通じて汚染されたリンクを配信し、Claude環境内で隠されたコマンドを実行させることが可能になります。
3つの脆弱性(The Trio of Vulnerabilities)
この攻撃は、目的を達成するために特定のシーケンスに依存しています。各コンポーネントは、ユーザーを欺き、モデルを操作し、データを正常に流出させるために不可欠な役割を果たします。
以下の表は、「Claudy Day」攻撃チェーンで特定された3つの脆弱性をまとめたものです。
| コンポーネント | メカニズム | セキュリティ上の意味 |
|---|---|---|
| URL経由のプロンプトインジェクション(Prompt Injection) | ?q=パラメータ内の隠しHTML属性 |
Claudeはユーザーの視界から隠された指示を実行し、通常の動作を上書きします。 |
| Files APIによるデータ流出 | AnthropicのFiles APIの不正使用 |
サンドボックス(Sandbox)環境内にある、攻撃者が制御するストレージへのデータ転送を可能にします。 |
| オープンリダイレクト(Open Redirect) | claude.com/redirect/上の脆弱性 |
攻撃者が悪意のあるリンクを正当なトラフィックとして偽装することを可能にし、ユーザーの疑念を回避します。 |
ステップ・バイ・ステップの実行:攻撃はどのように展開するか
「Claudy Day」攻撃のライフサイクルは、ユーザーがAIとやり取りするずっと前から始まります。claude.com上のオープンリダイレクト(Open Redirect)の脆弱性を利用することで、攻撃者は正当なAnthropicドメインから発信されているように見えるURLを作成できます。この機能は検索広告と組み合わせた場合に特に致命的です。攻撃者は、信頼されたclaude.comのURLを表示しながら、実際にはユーザーを汚染されたリダイレクト先に誘導するGoogle広告を作成できるのです。
ユーザーが広告をクリックすると、特別に細工されたclaude.ai/new?q= URLにリダイレクトされます。このURLには、事前入力されたプロンプトが含まれています。重要なことに、研究者たちは、インターフェースがこれらのURLパラメータ内に配置されたHTMLタグのサニタイズ(無害化)に失敗していることを発見しました。ユーザーにはチャットボックス内に無害な事前入力テキストが表示されますが、モデル自体は基盤となるHTML属性に埋め込まれた隠しコマンドを受信して実行します。
最終段階であるデータ流出は、おそらく最も巧妙です。Claudeのサンドボックスは外部サーバーへのアウトバウンド接続をブロックするように設計されているため、研究者たちは攻撃者のサーバーへの直接的な「コールホーム」は失敗することを指摘しました。その代わりに、攻撃はプラットフォーム内部のFiles APIを悪用します。隠されたプロンプトは、会話データを収集してファイルに書き込み、Files APIを介して攻撃者のストレージにアップロードするようClaudeに指示します。その後、攻撃者は都合の良い時にデータを回収し、ユーザーは自分のチャット履歴が侵害されたことに全く気づかないままとなります。
生成型AIセキュリティへの影響
「Claudy Day」の開示は、エージェント型AIに固有の進化する攻撃対象領域を痛感させるものとなりました。企業がAIエージェントをワークフローに統合し、内部ドキュメント、コードベース、サードパーティAPIへのアクセス権限を付与することが増えるにつれ、このような「ローテク」な悪用が大きな影響を及ぼす可能性は著しく高まっています。
「最初のプロンプト」の信頼境界の再考
この研究から得られた最も深い教訓の一つは、「最初の対話」の脆弱性です。多くのAI実装において、モデルはユーザーがインターフェースを開いた瞬間に動作する準備ができています。「Claudy Day」攻撃は、これが重要なセキュリティ境界であることを浮き彫りにしました。注入されたプロンプトはセッションのまさに開始時に到達するため、信頼関係が確立される前や、手動のユーザー確認が行われる前に、エージェントがコマンドを処理してしまうのです。
業界のエキスパートは、AIプラットフォームが初期プロンプトに対して「ゼロトラスト(Zero-trust)」モデルに移行する必要があると提案しています。これには以下が含まれます。
- 明示的なユーザー承認: 特に会話の最初のターンの間、ツール、API、またはメモリの取得を伴うすべてのアクションについて、ユーザーに手動での確認または承認を求める。
- プロンプトのサニタイズ: URLパラメータ、ブラウザ履歴、または外部統合からのすべての入力が厳密にサニタイズされ、モデルがユーザーに見えない隠された指示を実行できないようにする。
- アクセス制御の粒度: AIエージェントを特権サービスアカウントと同じセキュリティの厳格さで扱う。これは、最小権限の原則を適用し、プロンプトインジェクションによってエージェントが侵害された場合でも、機密性の高いAPI(Files APIなど)と対話する能力を制限することを意味します。
今後の展望:AI防御の強化
Anthropicはすでに「Claudy Day」チェーンで特定された特定の脆弱性に対応し、プロンプトインジェクションの問題を修正し、その他の問題の改善に取り組んでいます。しかし、この事件は、より広範なAIセキュリティ(AI security)の状況における先触れとしての役割を果たしています。
AIエージェントを導入する開発者や組織にとって、教訓は明らかです。セキュリティを後回しにすることはできません。プロンプトの整合性は、中核的なセキュリティ管理策として考慮されるべきです。業界が複雑なタスクを実行可能なより自律的なエージェントへと移行する中で、モデルの「善良な振る舞い」に依存することは不十分な戦略です。セキュリティチームは、配信メカニズム(URL、検索結果、電子メール)が操作のベクトルとなる可能性を考慮し、それに応じてAIの権限フレームワークを設計する必要があります。
「Claudy Day」の研究は、生成型AI技術が進歩し続ける一方で、安全なソフトウェア開発の基本は変わらないことを強調しています。最も高度なモデルであっても、それをホストするシステムと、ユーザーが到達するチャネルの安全性に依存しているのです。
