結論:Web閲覧と内部情報がつながる時に漏えい経路が生まれた
Memory Heistの仕組み
| 段階 | 起きたこと | 利用者から見えにくい理由 |
|---|---|---|
| 1. 誘導 | 通常サイトに見せた攻撃ページをClaudeへ読ませる | 人間のブラウザとClaude-Userで表示を分けられる |
| 2. 偽の指示 | 利用者名などを使った認証が必要だと説明する | 正規のアクセス手順に見せかける |
| 3. 文字選択 | a、b、cなどのリンクを順番に選ばせる | 本文送信ではなくURLアクセスとして実行される |
| 4. 復元 | 攻撃者がサーバーログから氏名などを復元する | Claudeの回答には送信内容が表示されない場合がある |
ここでは防御理解に必要な概要だけを扱います。攻撃サイトの構築や再現を勧めるものではありません。
メモリは「保存した事実」以上の人物像になり得る
研究者は、Claudeの過去会話の要約と会話検索から得られる情報を対象にしました。報告では、明示的に伝えていない出身都市も、高校時代のイベント名から推論されたとされています。
修正済みとされる範囲を慎重に読む
研究者はHackerOne経由で報告し、Anthropicがweb_fetchによる外部ページ内リンクの追跡を無効化したと説明しています。現在は、Web検索結果に含まれるURLと、ユーザーが直接指定したURLへアクセス先を制限することで、今回の文字単位送信経路を緩和したとされています。
一方、Anthropic公式ヘルプではWeb検索と、ユーザーが指定したURLを取得するWeb fetch自体は現在も案内されています。したがって「Web閲覧が廃止された」「すべての情報流出経路がなくなった」とは書けません。
Google Drive・メール・MCPでは権限の広さを確認する
Anthropic公式ヘルプによると、コネクタはClaude、Desktop、Mobile、Claude Codeなどで利用でき、接続先のユーザー権限を引き継ぎます。Team・Enterpriseでは、読み取り、書き込み、削除などをAlways allow、Needs approval、Blockedで制限できます。
| 接続先 | 確認すること | 安全側の設定 |
|---|---|---|
| Google Drive | 共有範囲、顧客資料、個人情報 | 必要な資料だけを専用フォルダへ分ける |
| メール | 本文、添付、連絡先、送信権限 | 検索・要約は読み取り、送信は承認必須 |
| リモートMCP | 運営者、OAuthスコープ、外部送信 | 信頼できる提供元だけ接続する |
| 書き込みツール | 作成、更新、削除、公開 | Needs approvalまたはBlockedを基本にする |
今すぐできる6つの安全対策
1. メモリへ残す情報を減らす
本人確認、顧客情報、社外秘、認証情報、詳細な勤務情報を継続利用の前提にしません。
2. Web検索を必要時だけ使う
最新情報が不要な会話ではオフにし、未知のサイトを複数まとめて読ませないようにします。
3. 接続サービスを棚卸しする
使っていないDrive、メール、Slack、MCPを解除し、各サービスの権限も見直します。
4. 書き込みを承認制にする
メール送信、ファイル作成、更新、削除、外部公開を自動許可しません。
5. 外部ページの指示を信頼しない
認証、秘密情報、追加URLへの移動を求めるページは停止して、ユーザーへ報告させます。
6. 重要作業を別の会話へ分ける
機密資料を扱う会話とWeb調査を同時に行わず、必要な文脈だけを渡します。
不審なページを読ませた後の確認手順
- Web検索と接続ツールを停止する
- 会話内の引用元、アクセス先、ツール履歴を確認する
- 氏名、勤務先、メール、認証情報など触れられた情報を整理する
- 接続サービスの最近の操作と監査ログを確認する
- 漏えいの可能性があるキー、パスワード、本人確認情報を変更する
- 不要なメモリ、会話、コネクタを整理してから再開する
確認した情報源
- Ayush Paul:The Memory Heist
- Anthropic Help:Enable and use web search
- Anthropic Help:Use connectors to extend Claude's capabilities
攻撃経路と修正状況は研究者報告、現在のWeb検索・コネクタ仕様はAnthropic公式ヘルプをもとに分けて整理しました。
FAQ
この問題は現在も未修正ですか?
研究者は、Anthropicが外部ページ内のリンクをweb_fetchでたどる機能を無効化し、この経路を緩和したと報告しています。ただし、Anthropic公式の修正告知やCVEではなく研究者報告として扱います。
Claudeのメモリを全部削除する必要がありますか?
一律に削除する必要はありませんが、氏名、勤務先、住所、顧客情報、本人確認に使う情報など、継続利用に不要な情報は保存しない方が安全です。
Web検索をオフにすれば安全ですか?
今回の経路は減らせますが、接続アプリやMCP、貼り付けた文書など別の入力経路があります。機能ごとの権限と保存情報も確認します。
Google Driveやメールの接続は危険ですか?
接続自体が直ちに危険という意味ではありません。必要なサービスだけ接続し、読み取り・書き込み権限、共有範囲、対象データを最小化します。
怪しいサイトをClaudeが読んだ後はどうしますか?
会話を止め、アクセス先、ツール履歴、接続サービス、送信や変更の有無を確認します。秘密情報が露出した可能性があれば認証情報を失効・再発行します。