この記事ではセキュリティに特化して解説します。AIセキュリティ全般は サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト をご覧ください。
何が起きたか
セキュリティ企業Koi Securityの研究者Oren Yomtov氏が、AnthropicのClaude Google Chrome拡張機能に存在する重大脆弱性を報告した。「ShadowPrompt」と命名されたこの脆弱性は、攻撃者がWebページへのアクセスのみで、ユーザーの操作を一切必要とせず悪意あるプロンプトをClaudeに注入できるゼロクリック攻撃を可能にする。Anthropicは2025年12月27日の責任ある開示を受けてパッチを展開し、Arkose Labs側のXSS修正は2026年2月19日に完了した。両者の修正完了までに約3カ月のタイムラグが発生している。
攻撃チェーンの技術的詳細
脆弱性は2つの独立した欠陥の組み合わせで成立する。
第一の欠陥は、拡張機能の信頼ドメイン設定にある。*.claude.aiというワイルドカードパターンに一致する全サブドメインからのプロンプト送信を無条件に許可していた。この設計では、サブドメインの一つでも侵害されれば信頼チェーン全体が崩壊する。
第二の欠陥は、Arkose Labs CAPTCHAコンポーネント(a-cdn.claude.ai上)に存在するDOM型XSS(クロスサイトスクリプティング)で、任意のJavaScript実行が可能な状態だった。
攻撃者はこの2つを連鎖させる。悪意あるWebページに脆弱なArkoseコンポーネントを不可視のiframeとして埋め込み、postMessage APIでXSSペイロードを送信する。注入されたスクリプトがClaudeプロンプトを発火すると、拡張機能は*.claude.aiの許可ドメイン由来と判断して実行してしまう。
エンジニアへの影響
- クレデンシャル窃取: アクセストークンが攻撃者に渡り、Claude APIへの不正アクセスが発生する
- 会話履歴の漏洩: Claude AIとの過去の全会話が第三者に閲覧される
- なりすまし操作: メール送信やファイル操作など、ユーザー権限での行動実行が可能になる
- 信頼ドメイン設計の教訓: ワイルドカードによるオリジン検証は、サブドメインの一つが侵害されるだけで全体に波及するリスクを内包する
- AIエージェントの攻撃面拡大: AIアシスタントの自動化能力が向上するほど、攻撃対象としての価値も上昇する構造的問題が顕在化
修正内容と対応タイムライン
| 日付 | 対応内容 |
|---|---|
| 2025年12月27日 | Koi SecurityがAnthropicに脆弱性を報告 |
| 2025年12月 | Anthropicがパッチ展開、バージョン1.0.41でオリジン検証を厳格化 |
| 2026年2月19日 | Arkose LabsがDOM型XSSを修正完了 |
修正後の拡張機能では、*.claude.aiのワイルドカード設定を廃止し、claude.aiとの完全一致検証に切り替えた。信頼スコープを単一ドメインに限定することで、サブドメイン経由の攻撃経路を遮断している。
対策の確認方法
Claude拡張機能のバージョンが1.0.41以上であることを確認する。Chrome拡張機能の自動更新が有効であれば既に適用済みだが、手動で無効化している場合はバージョン確認が必要となる。パッチ適用前に不審なWebサイトを訪問した可能性がある場合は、アクセストークンのリセットと会話履歴の確認を推奨する。
関連記事: サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト
参考リンク
この記事はAI業界の最新動向を速報でお届けする「AI Heartland ニュース」です。
