Claude 上での任意のコード実行:Gmail メッセージを介した悪用を実証

Gmail Message Exploit Triggers Code Execution in Claude, Bypassing Protections

2025/07/16 gbhackers — 巧妙に作成された Gmail メッセージを介して、Anthropic の AI アシスタント・アプリ Claude Desktop によりコード実行を引き起こす手法を、あるサイバー・セキュリティ研究者が実証した。この事例が明らかにしたのは、従来からの悪用手法である、ソフトウェアの欠陥を必要としない、AI 搭載システムにおける新たな脆弱性の存在である。このエクスプロイトは、各種のアプリケーションやサービスとのインタラクションを Claude 上で実現する、MCP (Model Context Protocol) を介するものだ。

今回のケースにおいて研究者が実証したのは、Claude Desktop を中間ホストとして悪用する侵害シナリオであり、Gmail の MCP サーバを悪意のコンテンツ・ソースとし、Shell MCP サーバをコード実行のターゲットとするものだ。

初期の抵抗に対する反復的な改良

初期段階での攻撃は失敗に終わった。悪意のメールをフィッシング攻撃の可能性があるものとして、Claude が正しく識別したからである。しかし、この研究者は、Claude と潜在的な攻撃シナリオについて対話し、その防御を回避するための、さまざまな戦術を説明するよう誘導した。

Claude analyzes a failed attempt
Claude analyzes a failed attempt

そして、Claude のセッション・ベース記憶限界を悪用することが、突破口になることを、この研究者は理解した。Claude 自身が述べるように、新たな会話は、新しい自分を意味する。つまり、以前のインタラクションに関する記憶を持たない、新たなコンテキストを意味する。この洞察が、洗練されたソーシャル・エンジニアリング手法を考える、彼の基盤となった。

研究者は Claude を説得し、より洗練された攻撃メールの作成に協力させ、Claude が過去の攻撃の失敗理由を分析し改善策を提案するための、フィードバック・ループを構築した。Claude はセッション中に、「文字通り、自分自身をハッキングしようとしている!」と発言したという。

成功したエクスプロイトにおいて、それぞれの MCP サーバの脆弱性を、まったく悪用していないことが、重要な点である。その代わりに、この研究者が悪用したのは、セキュリティ専門家たちが “構成リスク (compositional risk)” と呼ぶものである。それが意味するのは、信頼できない入力ソース/過剰な実行権限/各ツール間におけるコンテキスト・ガードレールの欠如という、脆弱さの組み合わせのことである。

研究者は、「これが、現代の攻撃対象領域である。コンポーネントだけでなく、それが形成する構成も重要である。LLM を利用するアプリは、デリゲーション/エージェントの自律性/サードパーティ製ツールといった、レイヤーの上に構築されている。そこに、真の危険が潜んでいる」と述べている。

前例のない展開も生じたという。Claude が申し出たのは、 Anthropic に対する調査結果の開示であり、セキュリティ脆弱性レポートの共著者になると発言したという。セキュリティ研究者との協力において、AIシステム が自らの脆弱性を報告するという異例の体制は、責任ある情報開示の実践における、新たなパラダイムを示している。

この攻撃の成功が浮き彫りにしたのは、AI セキュリティにおける2つの重大な懸念である。それは、高度な攻撃を生成する AI システムの能力と、ソーシャル・エンジニアリング手法に対する脆弱性である。

それぞれのコンポーネントを個別に保護することで達成される、従来からのソフトウェア・セキュリティと異なり、AI システムにおいて必要となるのは、インタラクション・エコシステム全体を考慮した包括的なセキュリティ・アプローチである。

AI アシスタントの機能と統合が進むにつれて、同様の構成攻撃の可能性が高まると、セキュリティ専門家たちは警告している。

このインシデントが明らかにしたのは、信頼境界と機能制限に重点を置いた、AI 搭載アプリケーションに特化した、新たなセキュリティ・フレームワークの必要性である。そこでは、従来からの脆弱性パッチ適用は意味を持たない。

この調査結果が示唆するのは、インテリジェントな自律システム特有のリスクに対処し、幅広い運用能力を備える包括的なセキュリティ標準を、AI 業界が早急に策定する必要性である。

AI アシスタントの脆弱性が、思わぬ形で悪用されるという可能性があるようです。Claude だけの問題ではないと思いますが、AI による自動化や連携が進むことで、さらなる攻撃を生み出していくでしょう。そこで必要になるのは、AI 搭載アプリケーションに特化した、新たなセキュリティ・フレームワークであると、この記事は指摘しています。よろしければ、カテゴリ AI/ML と、MCP で検索を、ご参照ください。