Claude の脆弱性 Claudy Day:データ侵害などを引き起こす不可視プロンプト・インジェクションとは?

Claude Vulnerabilities Allow Data Exfiltration and User Redirection to Malicious Sites

2026/03/19 CyberSecurityNews — Anthropic の AI アシスタント Claude.ai で発見された 3 つの脆弱性は、機密会話データの流出や、悪意の Web サイトへのユーザーのリダイレクトなどを引き起こす。それぞれの悪用チェーンにおいて、インテグレーション/ツール/MCP サーバのコンフィグなどは一切必要とされない。これらの脆弱性チェーンは Claudy Day と命名され、Responsible Disclosure Program を通じて OASIS から Anthropic に報告されている。”claude.com” プラットフォームにおける 3 つの脆弱性を組み合わせて、エンドツーエンドの侵害パイプラインを構築することも可能とされる。

3 つの脆弱性
  • URL パラメータを用いた不可視プロンプト・インジェクション:Claude.ai は URL パラメータ (claude.ai/new?q=…) により事前入力プロンプトをサポートする。この機能により、事前にテキストを読み込んだチャット・セッションを開くことが可能となる。

研究者たちが確認したのは、このパラメータ内に埋め込んだ特定の HTML タグが、チャット入力欄では不可視でありながら、送信時に Claude により完全に処理されることだ。この欠陥を突く攻撃者は、ユーザーには通常のプロンプトを見せながら、データ抽出コマンドを含む任意の命令の実行を可能にする。

  • Anthropic Files API を用いたデータ流出:Claude のコード実行サンドボックスは、外部ネットワーク通信を制限するが、”api.anthropic.com” への通信は許可されている。

攻撃者が制御する API キーを、不可視プロンプト・インジェクション・ペイロードに埋め込むことで、ユーザーの会話履歴から機密データを Claude が検索/収集し、その結果をファイルとして生成することが可能になる。さらに、Anthropic Files API を通じて、攻撃者のアカウントへアップロードさせることも可能である。この流出データの取得は、攻撃者が指定する任意のタイミングで実行される。外部ツールやサードパーティ統合は不要である。

  • “claude.com” におけるオープン・リダイレクト:”claude.com/redirect/<target>” 形式の URL は、任意の外部ドメインへのリダイレクトを、検証を必要とせずに実行する。

この機能と Google Ads と組み合わせて悪用できることを、研究者たちは示している。Google Ads はホスト名ベースで検証を実施するため、攻撃者は信頼された “claude.com” URL を表示する広告を作成し、クリック時に悪意のインジェクション URL へと転送させることが可能になる。この手法と正規の Claude 検索結果は、区別がつかない。

ーーー

デフォルトの Claude.ai セッションであっても、会話履歴にはビジネス戦略/財務計画/医療情報/個人情報/ログイン関連情報などの、高機密の内容が含まれる可能性がある。

Claude に対して攻撃ペイロードを処理させ、ユーザーの過去の会話や、特定の機密トピック (買収計画や健康診断結果など)、最も機密性が高いと判断した情報などを自動的に抽出/流出させることが可能である。

エンタープライズ環境において、MCP サーバ/ファイル統合/API 接続が有効な場合には、さらに影響範囲 (blast radius) が拡大する。注入された命令に応じて、ドキュメント読み取り/ユーザーを装うメッセージ送信/接続された業務サービスとの連携などが、ユーザーが介入する前に実行される可能性がある。

また、Google Ads のターゲティング機能 (特定メールアドレスを対象とする Customer Match) を悪用する攻撃者は、高価値ユーザーに標的を絞り込むことも可能になる。

Anthropic によると、すでにプロンプト・インジェクションの脆弱性は修正されており、残る問題も現在対応中とのことだ。Claude.ai などの AI プラットフォームを利用する組織は、すべてのエージェント統合を監査し、不要な権限を無効化することで、攻撃面を縮小すべきである。

ユーザーに対しては、事前入力プロンプトや共有リンクに不可視命令が含まれる可能性があるという、新たな脅威モデルについて教育する必要がある。

エンタープライズ・ガバナンスの観点において、認証情報を保持して自律的に動作する AI エージェントに対しては、人間ユーザーやサービス・アカウントと同等のアクセス制御を適用する必要がある。具体的には、意図分析/スコープ制限された just-in-time アクセス/完全な監査ログなどが求められる。

この脆弱性を開示した Oasis Security は、すでに OpenClaw に関する調査も行っており、重要な傾向を示唆している。広範なアクセス権を持つ AI エージェントは、単一の入力操作により乗っ取られる可能性がある。その一方で、従来の IAM (Identity and Access Management) フレームワークは、エージェントによる広範な動作を前提として設計されていない。

Anthropic の AI アシスタント Claude.ai で発見された、脆弱性チェーン Claudy Day について解説する記事です。 この脆弱性の原因は、 チャット開始時の URL パラメータに埋め込まれる、 ユーザーからは見えない “不可視の命令” にあります。 具体的には、 特定の HTML タグを悪用することで、 画面上は通常のプロンプトを表示しながら、背後ではデータ抽出などの攻撃命令を Claude に実行させることが可能になっていました。

さらに、 Claude が Anthropic 自身の API 通信を許可している仕様を突き、 抽出した機密データを攻撃者の管理する領域へファイルとして転送させる手法も確認されています。 これにより、 ビジネス戦略や個人情報といった過去の会話履歴が、 ユーザーの気づかないうちに流出する恐れがありました。 また、 検証不備のあるリダイレクト機能を Google 広告と組み合わせることで、 信頼されたドメインを装いながら悪意のある URL へ誘導する攻撃も成立してしまいます。ご利用のチームは、ご注意ください。よろしければ、Prompt Injection での検索結果も、ご参照ください。