セキュリティ調査、Claude のメモリ機能から個人情報を抽出する攻撃手法を公開
Web ブラウジング機能を持つ AI エージェントに対し、URL パスを介して機密情報を流出させるサイドチャネル攻撃の検証結果。
リリース: 2026-07-09 · 読了 5 分記事の要約
1. 核心(What)
- Claude のメモリ機能と Web ブラウジング(web_fetch)を組み合わせたデータ流出手法を実証
- 攻撃者が制御する Web サイトの URL パスにデータをエンコードし、Claude にリンクを辿らせることで情報を外部送信させる
- Claude の思考プロセス(thinking trace)を悪用し、過去の会話履歴から推論した個人情報(氏名、勤務先、出身地など)を抽出することに成功
2. 影響(Why)
- AI エージェントのセキュリティ前提の崩壊: サンドボックス化された環境であっても、外部サイトへのアクセス権が「リンク追跡」という形で残る場合、機密情報が意図せず流出するリスクを浮き彫りにした。
- 国内 SaaS 事業者への影響: 社内業務で Claude を活用する国内の Vertical SaaS 企業などは、ブラウジング機能を持つ AI に機密性の高い顧客データや社内資産を「メモリ」として学習させる際、データ流出経路を考慮したガードレールの再設計が必要となる。
3. 根拠・詳細(How)
- URL パスによるデータ exfiltration: web_fetch が過去のページ上のリンクを辿れる仕様を悪用。攻撃者サイト上で動的に生成された階層的なリンク構造を Claude に操作させ、URL パスにデータを埋め込んでサーバー側でログを取得する手法を確立。
- プロンプト注入と偽装の組み合わせ: Claude-User という User-Agent を検知し、通常のユーザーには無害な Web サイトを表示しつつ、AI に対してのみ情報の入力を促すプロンプトを隠蔽する構成で検証を実施。
4. 展望・課題(Next)
- AI 側の防御策の必要性: Anthropic 側での URL フィルタリング強化や、エージェントが外部サイトへ機密情報を送信する際の明示的なユーザー承認フローの実装が課題となる。