🌐 This article hasn't been translated yet — showing the Japanese version.
何気ない質問がClaudeの記憶を盗む ― メモリー窃取攻撃の仕組み thumbnail
AI SECURITY Importance Medium 2026-07-16

何気ない質問がClaudeの記憶を盗む ― メモリー窃取攻撃の仕組み

⏱ approx. 2 min views 3 likes 0 LOG_DATE:2026-07-16
TOC

何気ない質問が情報漏洩の入り口に #

2026年7月、セキュリティ研究者Ayush Paul氏が、AIアシスタント「Claude」からユーザーの氏名や勤務先、秘密の質問の答えまでを外部に送信させる攻撃手法を報告した。引き金は特別な操作ではない。ユーザーが「近くのコーヒーショップを教えて」と尋ねただけで、Claudeが罠を仕込んだWebページを閲覧し、記憶していた個人情報が攻撃者のサーバーへと流れ出た。怪しいリンクをクリックする必要も、危険な拡張機能を有効化する必要もない点が、この手口の恐ろしさだ。

URLに1文字ずつ刻んで持ち出す「メモリー窃取」 #

Claudeはユーザーとの過去のやり取りを「メモリ」として保持し、Web閲覧ツール(web_fetch)で外部サイトを自律的に読み込める。Paul氏が突いたのはこの組み合わせだ。プライベートな情報・信頼できない外部コンテンツ・データを持ち出す通信経路の3つが揃うと危険という、いわゆる「lethal trifecta」構造である。攻撃用サイトは、Claudeが辿るリンクの中に次々とネストされたリンクを仕込んでおり、Claudeは氏名や勤務先を1文字ずつURLのパスへ変換しながらページ遷移を繰り返す。応答が終わる頃には、当人が気づかぬまま情報は攻撃者の手に渡っていた。

質問からメモリー窃取に至る4段階の流れを示すインフォグラフィック
何気ない質問から個人情報が流出するまでの4ステップ

修正は完了、だが問いは残る #

Anthropicは既にweb_fetchが外部ページ内のリンクを自動で辿れないよう制限し、この経路は塞がれた。だが同時期には「Claudy Day」と呼ばれる複数脆弱性の指摘や、Claude Codeでの永続的なメモリ汚染の報告も相次いでおり、単発の不具合では済まない構造的な話であることが分かる。メモリと自律的なWeb閲覧を組み合わせるエージェントAIは、便利さと引き換えに新しい攻撃対象領域を抱え込む。同様の設計はChatGPTやGeminiのエージェント機能にも共通しており、ユーザー自身には気づける異変が何もないという点こそが、この種の攻撃の最大の脅威だ。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment