この記事は会員限定です。会員登録すると全てご覧いただけます。
Koi Securityは2026年3月26日(現地時間)、Anthropicが提供するAIアシスタント「Claude」に対応した「Google Chrome」の拡張機能において、ユーザーが特別な操作をしなくても、悪意のあるWebサイトを閲覧しただけで不正な指示が実行される脆弱(ぜいじゃく)性が存在していたことを発表した。
AI拡張へのゼロクリック攻撃「ShadowPrompt」 設計不備とXSSが連鎖
この問題は「ShadowPrompt」と呼ばれ、拡張機能の設計上の不備と外部コンポーネントの脆弱性を組み合わせた攻撃によって成立する。攻撃者は、あたかも利用者が入力したかのようにAIに命令を送り込み、Webブラウザの操作権限を奪うことが可能だった。
原因は主に2点ある。一つは拡張機能が「*.claude.ai」に一致するサブドメインを広く信頼していた点にある。この設定により、本来限定されるべきメッセージ送信元の検証が十分に行われていなかった。
もう一つは、認証処理に使われるArkose Labs製CAPTCHAコンポーネントに存在したDOMベースのクロスサイトスクリプティング(XSS)だ。最新版では対策されていたものの、攻撃者がサーバに残っていた脆弱な旧バージョンを狙って悪用した。このCAPTCHAは「a-cdn.claude.ai」で動作し、外部から送られたメッセージの送信元を検証していなかった。受信したデータをHTMLとしてそのまま描画する実装となっており、攻撃者が細工したコードを実行できる状態だった。
攻撃は、悪意あるページ内に不可視の「iframe」を埋め込み、脆弱なCAPTCHAコンポーネントを読み込ませることで始まる。そこに細工したメッセージを送信し、任意のJavaScriptを実行させる。その後、拡張機能のAPIを通じてAIに指示が送られ、ユーザー権限と同等の操作が実行される。
この手法により、攻撃者は「Gmail」のアクセストークン取得や「Google Drive」にあるデータの閲覧、AIとの会話履歴の取得、電子メール送信の代行など、広範な操作を実行できる可能性があった。しかも、一連の処理はユーザーに気付かれない形で進行する。
調査結果は2025年12月に報告され、Anthropicは2026年1月に拡張機能を修正した。具体的に通信元を「https://claude.ai」に限定する厳格な検証を導入した。その後、CAPTCHA側の問題についても2026年2月に修正が完了し、最終的に全ての問題が解消された。
研究チームは、AIエージェント型のWebブラウザ拡張は利便性が高い一方、攻撃対象としての価値も高まっていると指摘する。Webブラウザ操作やデータアクセス、外部サービスとの連携が可能な仕組みは、信頼境界の設計が不十分な場合、大きなリスクとなる。また組織内で利用される拡張機能の可視化と管理の重要性も強調している。脆弱な依存関係や過剰な権限設定を把握し、早期に対処することが被害防止につながるとした。
関連記事
リソースの制約をどう克服するか? SCS評価制度に見る「持続可能なセキュリティ」の形
サプライチェーン全体にセキュリティを求められるなど、セキュリティ対策の重要性が高まる一方、専門人材の不足や実施コストの増大は避けて通れない課題です。SCS評価制度はその現実にどう折り合いを付けたのでしょうか。制度設計の裏側を読み解くと、単なる評価制度では終わらない“もう一つの意図”が浮かび上がります。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
