セキュリティ企業Pentera Labsの研究チームは、AnthropicのデスクトップAIアシスタントであるClaude Desktopを、リモートでのコマンド実行の踏み台に変える新しい攻撃手法を実証しました。フィッシングメールも従来型のマルウェアも使わず、アカウント全体で同期される正規の個人設定機能を悪用する手口です。この研究は2025年11月にAnthropicへ報告されましたが、Anthropicはこれをセキュリティ上の脆弱性としては認定していません。
当サイトでも以前、Claude Codeの設定ファイルを起点にしたRCEの脆弱性や、Claude Coworkのサンドボックスに関する調査結果を取り上げてきましたが、今回のPentera Labsの報告も、AnthropicのAIエージェント製品が抱える境界線の設計を巡る、同じ系譜の議論に連なるものです。
サマリー
- Pentera Labsは、フィッシングメールや従来型のマルウェアを使わず、Claude Desktopの正規機能である個人設定(Personal Preferences)の同期を悪用してリモートコード実行を成立させる攻撃チェーンを実証した
- 攻撃はまず、複数のメールアカウントを一元管理するサードパーティ製のメール統合プラットフォームの認証不備を突くところから始まり、数千件規模の実在する受信箱へのアクセスを得たとされる
- ここからパスワードリセットやマジックリンクを経由して被害者のClaudeアカウントへ侵入し、アカウント全体で同期される個人設定フィールドへ、Base64でエンコードしたプロンプトインジェクションのペイロードを注入した
- 被害者が次にClaude Desktopを開き通常の対話を行うと、汚染された個人設定が静かに読み込まれ、コマンド実行が可能なMCPツール(Desktop Commander等)がすでに導入されていれば、追加の操作なしにコマンドが実行される
- 該当のツールが導入されていない場合は、Claude自身が偽のエラーメッセージを表示し、Desktop Commanderのインストールを促す、もっともらしい誘導画面を見せる形で被害者を誘導する
- Pentera Labsは2025年11月にこの内容をAnthropicへ報告したが、Anthropicは個人設定・スキル・MCPコネクタはClaude Desktopを通じてコードを実行できるよう意図的に設計された機能だとして、セキュリティ脆弱性としては認定せず、意図された機能であると回答した
- 同様の指摘は過去にも例があり、2026年2月にはLayerX社が、カレンダーの予定を起点にしたゼロクリックのRCE(CVSS 10.0、1万人超のユーザーに影響)を報告した際もAnthropicは対応を見送っているが、Koi Securityが発見したChrome・iMessage・Apple Notes向けコネクタのコマンドインジェクションの脆弱性は修正されている
| 項目 | 内容 |
|---|---|
| 発見者 | Pentera Labs |
| 対象 | Claude Desktopの個人設定(Personal Preferences)同期機能 |
| 攻撃の起点 | 侵害されたサードパーティ製メール統合プラットフォームの認証不備 |
| 侵入経路 | パスワードリセット・マジックリンク経由でClaudeアカウントへピボット |
| 手口 | Base64エンコードしたプロンプトインジェクションのペイロードを個人設定へ注入 |
| 発火条件 | 被害者が次にClaude Desktopを開き通常の対話を行った時点 |
| コマンド実行可能なツールがある場合 | 静かにコマンドを実行(追加操作不要) |
| ツールがない場合 | Claudeが偽のエラーメッセージでDesktop Commanderの導入を誘導 |
| Anthropicへの報告日 | 2025年11月 |
| Anthropicの回答 | セキュリティ脆弱性として認定せず、意図された機能と説明 |
| 類似の過去の指摘 | LayerX(2026年2月、カレンダー起点のゼロクリックRCE、CVSS10.0、対応見送り)、Koi Security(Chrome/iMessage/Notesコネクタ、修正済み) |
目次
何が起きたか
Pentera Labsのオフェンシブセキュリティチームを率いるDvir Avraham氏らの研究は、AIアシスタントに対する人々の信頼そのものを悪用する攻撃として設計しました。
研究チームはまず、複数のメールアカウントをまとめて管理できるサードパーティ製のメール統合プラットフォームの認証不備を突き、数千件規模の実在する受信箱へアクセスできる状態を作り出したとしています。この受信箱へのアクセスを足がかりに、パスワードリセットやマジックリンクの仕組みを使って、被害者のClaudeアカウントそのものへ侵入しました。
侵入後、研究チームは典型的な侵害後の行動(データの窃取や横展開)を追うのではなく、Claude Desktopが持つ個人設定というフィールドに着目しました。
この個人設定は、利用者が自由に編集できるプロンプトで、同じアカウントに紐づくすべてのセッション・デバイスへ同期される仕組みになっています。この設定はClaudeの応答の仕方そのものを直接左右するため、ここを制御できれば、利用者インターフェースを一切改変することなく、アシスタントの挙動そのものを支配できることになります。
攻撃チェーン
研究チームが作成したのは、
Claudeに対して、コマンド実行が可能なツールが端末にインストールされていないかを調べ、
存在すればそのコマンドを実行し、存在しなければ偽のエラーを装うよう指示するプロンプトインジェクションのペイロードです。
このペイロードはBase64でエンコードされたうえで個人設定に埋め込まれており、一見しただけでは意味の取れないただの文字列の塊にしか見えないため、人間による目視確認や自動化された監査のいずれもすり抜けやすい形になっていました。
被害者が次にClaude Desktopを開いて通常のやり取りを行うと、この汚染された個人設定が読み込まれます。
Desktop Commanderのような、ローカルでのコマンド実行を可能にするMCPツールがすでに導入されている場合、この汚染された設定は通常のユーザー操作の最中に静かにコマンド実行を引き起こし、被害者側には追加の操作も、再認証や警告の表示も一切発生しません。
Claude自身が「フィッシング層」になる二段構えの罠
コマンド実行が可能なツールが端末に存在しない場合、Pentera Labsの実証実験ではさらに興味深い挙動が確認されています。
Claude自身が、もっともらしい偽のエラーメッセージを表示し、そのエラーを解消するためとしてDesktop Commanderのインストールを促す、本物そっくりのインストールページへ被害者を誘導するのです。
ひとたびこのツールがインストールされると、被害者が次に送るごく普通のメッセージが、そのままコマンド実行の引き金になってしまいます。信頼されているはずのAIアシスタント自身が、攻撃者に代わって被害者を説得するソーシャルエンジニアリングの経路として機能してしまう、二段構えの罠になっている点が今回の実証実験の特徴です。
なお研究チームは、この検証を行った2025年11月時点ではClaude CowworkやClaude Codeがまだ存在しておらず、端末上でコマンドを実行させるための遠回りな手段としてこの手口を編み出す必要があったと説明しています。現在ではCowork機能が存在するため、同様のシナリオはさらに実現しやすくなっているとも指摘しています。
Anthropicの回答「意図された機能」という立場
Pentera Labsは2025年11月、この検証結果をAnthropicへ報告しました。Anthropicはこれを検討したうえで、自社のバグ報奨金プログラムの対象範囲に含まれるセキュリティ脆弱性には該当しないと結論づけたと回答しています。
同社の説明によれば、現在の脅威モデルでは、個人設定・スキル・MCPコネクタは、設計上Claude Desktopを通じてコードを実行できる機能として扱われており、これらの機能が操作された場合に任意のコードが実行されうることは認識しているものの、それは自社のインフラにおけるセキュリティ脆弱性ではなく、意図された機能の範囲内であるとしています。同社はあわせて、関連する安全対策がロードマップに含まれていること、既存のセッション管理やアカウント認証の仕組みが一定の防御を提供していることにも言及しています。
この立場は一定の論理的な一貫性を持っています。
MCPコネクタは利用者自身が明示的に設定し、権限を付与したうえでローカルに導入するツールであり、その設計思想からすれば、正しく認証された利用者の意思に基づいてコードが実行されること自体は、想定された挙動だという整理も成り立ちます。一方で、今回のケースでは、個人設定を書き換えたのは正規の利用者本人ではなく、盗まれたアカウントを悪用した攻撃者です。ユーザーが明示的に許可を与えたはずの機能が、アカウント乗っ取りという別の弱点を経由することで、本人の意思とは無関係に武器化されてしまうという点は、この整理だけでは十分に説明しきれない部分だといえます。
繰り返されるMCPコネクタの信頼境界問題
今回の指摘は、単発の出来事ではありません。
2026年2月には、セキュリティ企業のLayerXが、悪意あるGoogleカレンダーの予定を起点にした別のゼロクリックRCEを報告しています。この事例では、Claude Desktop Extensions(DXT)を対象に、悪意のある内容を含むカレンダーの予定に対して「対応しておいて」といった程度のごく普通の指示を出すだけで、任意のコード実行にまで発展する仕組みが示されており、CVSSスコアは最高値の10.0、1万人を超える利用者と50以上の拡張機能が影響を受けるとされました。この際もAnthropicは、この挙動は自社の現在の脅威モデルの範囲外であるとして対応を見送っています。一方で、セキュリティ企業のKoi Securityが発見した、Anthropic自身が提供するChrome・iMessage・Apple Notes向けの各コネクタに存在したコマンドインジェクションの脆弱性(CVSS 8.9)については、すでに修正が行われています。
これらの事例に共通しているのは、ローカルでコードを実行できる拡張機能と、自然言語による指示への信頼が組み合わさることで、広範な攻撃対象領域が生まれているという構造です。低リスクとみなされる情報源(メールやカレンダーの予定)から得た情報を、高リスクな操作(ローカルでのコマンド実行)への正当な指示として扱ってしまうという境界の緩さは、複数の独立したセキュリティ企業によって繰り返し指摘されている論点であり、AIデスクトップアプリケーション全般が抱える構造的な課題だと捉えるべきでしょう。
情報システム部門への示唆
自組織でClaude Desktopや同様のAIデスクトップアプリケーションを導入している場合、これらを単なるチャットツールとしてではなく、コードを実行しローカルファイルへアクセスしうる、特権を持ったソフトウエアとして扱うことをお勧めします。具体的には、Desktop Commanderのようなコマンド実行が可能なMCPコネクタについて、本当に業務上必要な端末に限定して導入し、不要な端末では無効化・アンインストールしておくことが有効です。
あわせて、同期される個人設定やアカウント全体の設定情報に対する不正な変更を監視する仕組みを検討することをお勧めします。今回の攻撃の起点は、Claude自体の脆弱性ではなく、サードパーティ製のメール統合サービスとアカウント認証の弱点でした。従業員が利用しているメールアグリゲーターやアカウント連携サービスについても、多要素認証の徹底やパスワードリセット・マジックリンクの発行条件を見直すなど、AIツール本体だけでなく、そこへアクセスするための周辺サービスの認証強度にも注意を払う必要があります。当サイトで以前紹介したClaudeのFiles APIを悪用した情報持ち出しの脆弱性とあわせて、AIエージェント製品を導入する際は、ベンダーが特定の挙動を脆弱性と認定するかどうかにかかわらず、自組織の脅威モデルに照らして許容できるリスクかどうかを、自ら評価する姿勢が欠かせません。
出典
- Attackers Can Abuse Claude Desktop to Execute Commands on Victim Machines – CyberPress
- Red teamers turned Claude Desktop into a double agent to do their evil bidding – The Register
- AI Double Agent Attack Turns Claude Desktop to Execute Remote Code on a Target Machine – CyberSecurityNews
- Poisoned Email Turns Claude Desktop Into a Reverse Shell – Daily Security Review
- Claude Desktop Extensions Exposes Over 10,000 Users to Remote Code Execution Vulnerability – LayerX Security
- New Zero-Click Flaw in Claude Extensions, Anthropic Declines Fix – Infosecurity Magazine
- Claude Codeの設定ファイルが攻撃面に不正リポジトリでRCEとAPIキー窃取が成立した脆弱性(CVE-2025-59536/CVE-2026-21852) – セキュリティ対策Lab
- Claude Coworkのサンドボックスからroot権限で脱出可能な欠陥をArmadinが報告、Anthropicは脆弱性として非認定 – セキュリティ対策Lab
- ClaudeのFiles API悪用して不正アクセスできるセキュリティホール-間接プロンプトインジェクションの仕組みを解説 – セキュリティ対策Lab







