投稿日時: 更新日時:
2025年10月末、研究者がAnthropic「Claude」のコード実行機能とネットワーク許可設定の組み合わせを悪用し、ユーザーがアクセスできるデータを攻撃者側のAnthropicアカウントへアップロードできることを実証しました。
既定のネットワーク設定は「パッケージマネージャのみ」ですが、この許可リストに含まれるAnthropicのAPIエンドポイントを経由し、攻撃者が用意したAPIキーを使ってファイルを送信できてしまう点が盲点でした。間接プロンプトインジェクションによってClaudeの振る舞いを乗っ取り、サンドボックスに保存したユーザーデータをFiles APIへ転送することで情報が外部に流出します。
影響範囲と成立条件
この問題は、Claudeのコード実行におけるネットワークアクセスが有効で、かつ既定の許可ドメインにAnthropicのAPIが含まれている環境で成立します。
攻撃者は悪性文書や外部ページを介した間接プロンプトインジェクションペイロードを使用して、ユーザーの会話履歴やプロジェクト内のデータを読み取り、サンドボックス上にファイルとして保存させます。
そのうえで、攻撃者のAPIキーを環境変数などで設定させ、Files APIに対してアップロードを実行させます。検証では一度に約30MBのファイルを送れることが示され、複数回の送信で相当量の情報が外部へ移転し得ます。
技術の要点
「パッケージマネージャのみ」というネットワークアクセスの既定設定は安全そうに見えますが、実際にはGitHubやPyPIなどに加えてAnthropic自身のAPIも通信先として許可されます。
サンドボックスからAnthropicのAPIを呼ぶ際に、ユーザーのアカウントではなく攻撃者のAPIキーを使えば、アップロード先は攻撃者のワークスペースになります。さらに、Claudeには会話履歴やメモリ機能の参照が可能な設定があり、これらが読み取り対象の私的データになり得ます。研究者の実験では、明らかな鍵の埋め込みを嫌ってモデルが拒否することもありましたが、無害に見えるコードを混在させるなどの工夫で回避できるケースが確認されています。
攻撃シナリオ
典型的な流れは、まずユーザーが攻撃者の用意した文書やページをClaudeに解析させることから始まります。埋め込まれた指示によってClaudeはユーザーの直近会話やプロジェクト内データを取得し、サンドボックス上にファイルとして書き出します。
次に、攻撃者のAPIキーが設定された状態でFiles APIを呼び出し、そのファイルを攻撃者のワークスペースへアップロードします。攻撃者はコンソールやAPIからファイルの到着を確認し、内容を自由に再利用できるようになります。
原因
Anthropic今回の事象は間接的なプロンプトインジェクションも必要ですが、既定ネットワークへAnthropicのAPIが許可ドメインに含まれる限り、攻撃者の鍵での送信余地が残ります。
ベンダー側の説明と経緯
研究者は2025年10月25日にHackerOne(脆弱性収集をしているセキュリティ企業)へ問題を報告しましたが、当初はモデル安全上の課題としてスコープ外と扱われました。その後、10月30日にはデータ外送に関する脆弱性は報告対象であることが確認され、手続き上の不備があった旨が共有されています。Anthropicのセキュリティに関する説明では、ネットワーク経由のデータ外送リスクへの注意喚起と、機能利用中の監視および想定外のアクセスが見られた場合の停止が推奨されています。研究者は、この問題を単なる安全性の問題ではなく、既定のネットワーク許可設計が招くセキュリティ上の脆弱性だと位置づけています。
情シス向け:短期の緊急対策
まず、業務要件がなければコード実行時のネットワークアクセスを無効化するのが最も確実です。
やむを得ず有効化する場合は、許可ドメインを最小化し、AnthropicのAPIを含む送信について自社のリスク評価をやり直してください。次に、プロキシやゲートウェイでAnthropic APIへのPOST送信を可視化し、Files API相当の送信を検知できるようにします。可視化が難しい場合でも宛先FQDNやSNIの監視は有効です。運用面では、外部由来の文書やページを解析する際はネットワークを無効にしたセッションを使い、機微情報を会話履歴やメモリ機能の対象に含めない方針を徹底してください。
出典
Claude Pirate: Abusing Anthropic’s File API For Data Exfiltration
関連記事
Anthropic、OpenAIのClaude APIアクセスを停止
主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易
GitHub Actionの tj-actions/changed-files の脆弱性がサプライチェーン攻撃に悪用される可能性(CVE-2025-30066)
AIの進化がもたらす新たな脅威 VibeScamming-生成AIを悪用したフィッシングシナリオテスト
GitHub Actionの「tj-actions/changed-files」が侵害される脆弱性(CVE-2025-30066)
ダイヤモンドエレクトリックホールディングスの海外子会社へランサムウェアによるサイバー攻撃
VSCodeの拡張機能を標的とするサイバー攻撃-12件の悪性コンポーネントを確認
生成AIで安全対策が突破される脆弱性を発見
AIが作成したフィッシングメールのクリック率が50%を超える
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)