Claude拡張機能に深刻な脆弱性 閲覧だけでWebブラウザ乗っ取りの恐れ：セキュリティニュースアラート

ClaudeのChrome拡張機能に、閲覧しただけでAIが不正操作される脆弱性「ShadowPrompt」が見つかった。設計上の不備と外部部品のXSSを突いたものだという。

[ITmedia エンタープライズ編集部，ITmedia]

　Koi Securityは2026年3月26日（現地時間）、Anthropicが提供するAIアシスタント「Claude」に対応した「Google Chrome」の拡張機能において、ユーザーが特別な操作をしなくても、悪意のあるWebサイトを閲覧しただけで不正な指示が実行される脆弱（ぜいじゃく）性が存在していたことを発表した。

AI拡張へのゼロクリック攻撃「ShadowPrompt」　設計不備とXSSが連鎖

　この問題は「ShadowPrompt」と呼ばれ、拡張機能の設計上の不備と外部コンポーネントの脆弱性を組み合わせた攻撃によって成立する。攻撃者は、あたかも利用者が入力したかのようにAIに命令を送り込み、Webブラウザの操作権限を奪うことが可能だった。

　原因は主に2点ある。一つは拡張機能が「*.claude.ai」に一致するサブドメインを広く信頼していた点にある。この設定により、本来限定されるべきメッセージ送信元の検証が十分に行われていなかった。

　もう一つは、認証処理に使われるArkose Labs製CAPTCHAコンポーネントに存在したDOMベースのクロスサイトスクリプティング（XSS）だ。最新版では対策されていたものの、攻撃者がサーバに残っていた脆弱な旧バージョンを狙って悪用した。このCAPTCHAは「a-cdn.claude.ai」で動作し、外部から送られたメッセージの送信元を検証していなかった。受信したデータをHTMLとしてそのまま描画する実装となっており、攻撃者が細工したコードを実行できる状態だった。

　攻撃は、悪意あるページ内に不可視の「iframe」を埋め込み、脆弱なCAPTCHAコンポーネントを読み込ませることで始まる。そこに細工したメッセージを送信し、任意のJavaScriptを実行させる。その後、拡張機能のAPIを通じてAIに指示が送られ、ユーザー権限と同等の操作が実行される。

　この手法により、攻撃者は「Gmail」のアクセストークン取得や「Google Drive」にあるデータの閲覧、AIとの会話履歴の取得、電子メール送信の代行など、広範な操作を実行できる可能性があった。しかも、一連の処理はユーザーに気付かれない形で進行する。

　調査結果は2025年12月に報告され、Anthropicは2026年1月に拡張機能を修正した。具体的に通信元を「https://claude.ai」に限定する厳格な検証を導入した。その後、CAPTCHA側の問題についても2026年2月に修正が完了し、最終的に全ての問題が解消された。

　研究チームは、AIエージェント型のWebブラウザ拡張は利便性が高い一方、攻撃対象としての価値も高まっていると指摘する。Webブラウザ操作やデータアクセス、外部サービスとの連携が可能な仕組みは、信頼境界の設計が不十分な場合、大きなリスクとなる。また組織内で利用される拡張機能の可視化と管理の重要性も強調している。脆弱な依存関係や過剰な権限設定を把握し、早期に対処することが被害防止につながるとした。