Claude security / Memory Heist

Claudeのメモリを狙った「Memory Heist」とは?

セキュリティ研究者Ayush Paul氏は、ClaudeのWeb閲覧を利用し、メモリに含まれる氏名や勤務先などをリンク選択の履歴として外部サイトへ送信させる攻撃を報告しました。重要なのは、メモリ単体の問題ではなく、内部情報と外部アクセスを同じエージェントが扱う時の境界です。

この記事は2026年7月17日時点の研究者報告とAnthropic公式ヘルプを確認した非公式ガイドです。修正状況は研究者の説明をもとにし、Anthropic公式のCVEや障害告知としては扱いません。

結論:Web閲覧と内部情報がつながる時に漏えい経路が生まれた

報告された攻撃は、Claudeが外部ページ内のリンクをたどれる仕様と、会話履歴・メモリから個人情報を利用できる状態を組み合わせたものです。研究者によれば該当するリンク追跡経路は緩和済みですが、Web検索、接続アプリ、MCPを使う際の最小権限は引き続き必要です。
外部ページを偽装人間には普通のサイト、Claudeには偽の認証指示を表示した。
URL選択で送信文字ごとのリンクを選ばせ、アクセス履歴から情報を復元した。
メモリを参照氏名、勤務先、文脈から推論した出身都市まで対象になったと報告。

Memory Heistの仕組み

段階起きたこと利用者から見えにくい理由
1. 誘導通常サイトに見せた攻撃ページをClaudeへ読ませる人間のブラウザとClaude-Userで表示を分けられる
2. 偽の指示利用者名などを使った認証が必要だと説明する正規のアクセス手順に見せかける
3. 文字選択a、b、cなどのリンクを順番に選ばせる本文送信ではなくURLアクセスとして実行される
4. 復元攻撃者がサーバーログから氏名などを復元するClaudeの回答には送信内容が表示されない場合がある

ここでは防御理解に必要な概要だけを扱います。攻撃サイトの構築や再現を勧めるものではありません。

メモリは「保存した事実」以上の人物像になり得る

研究者は、Claudeの過去会話の要約と会話検索から得られる情報を対象にしました。報告では、明示的に伝えていない出身都市も、高校時代のイベント名から推論されたとされています。

推論できる情報も保護対象です。 氏名や住所だけでなく、勤務先、学校、家族構成、取引先、悩み、行動範囲、本人確認質問へつながる断片を長期間蓄積しないようにします。

修正済みとされる範囲を慎重に読む

研究者はHackerOne経由で報告し、Anthropicがweb_fetchによる外部ページ内リンクの追跡を無効化したと説明しています。現在は、Web検索結果に含まれるURLと、ユーザーが直接指定したURLへアクセス先を制限することで、今回の文字単位送信経路を緩和したとされています。

一方、Anthropic公式ヘルプではWeb検索と、ユーザーが指定したURLを取得するWeb fetch自体は現在も案内されています。したがって「Web閲覧が廃止された」「すべての情報流出経路がなくなった」とは書けません。

Google Drive・メール・MCPでは権限の広さを確認する

Anthropic公式ヘルプによると、コネクタはClaude、Desktop、Mobile、Claude Codeなどで利用でき、接続先のユーザー権限を引き継ぎます。Team・Enterpriseでは、読み取り、書き込み、削除などをAlways allow、Needs approval、Blockedで制限できます。

接続先確認すること安全側の設定
Google Drive共有範囲、顧客資料、個人情報必要な資料だけを専用フォルダへ分ける
メール本文、添付、連絡先、送信権限検索・要約は読み取り、送信は承認必須
リモートMCP運営者、OAuthスコープ、外部送信信頼できる提供元だけ接続する
書き込みツール作成、更新、削除、公開Needs approvalまたはBlockedを基本にする

今すぐできる6つの安全対策

1. メモリへ残す情報を減らす

本人確認、顧客情報、社外秘、認証情報、詳細な勤務情報を継続利用の前提にしません。

2. Web検索を必要時だけ使う

最新情報が不要な会話ではオフにし、未知のサイトを複数まとめて読ませないようにします。

3. 接続サービスを棚卸しする

使っていないDrive、メール、Slack、MCPを解除し、各サービスの権限も見直します。

4. 書き込みを承認制にする

メール送信、ファイル作成、更新、削除、外部公開を自動許可しません。

5. 外部ページの指示を信頼しない

認証、秘密情報、追加URLへの移動を求めるページは停止して、ユーザーへ報告させます。

6. 重要作業を別の会話へ分ける

機密資料を扱う会話とWeb調査を同時に行わず、必要な文脈だけを渡します。

不審なページを読ませた後の確認手順

  1. Web検索と接続ツールを停止する
  2. 会話内の引用元、アクセス先、ツール履歴を確認する
  3. 氏名、勤務先、メール、認証情報など触れられた情報を整理する
  4. 接続サービスの最近の操作と監査ログを確認する
  5. 漏えいの可能性があるキー、パスワード、本人確認情報を変更する
  6. 不要なメモリ、会話、コネクタを整理してから再開する

確認した情報源

攻撃経路と修正状況は研究者報告、現在のWeb検索・コネクタ仕様はAnthropic公式ヘルプをもとに分けて整理しました。

FAQ

この問題は現在も未修正ですか?

研究者は、Anthropicが外部ページ内のリンクをweb_fetchでたどる機能を無効化し、この経路を緩和したと報告しています。ただし、Anthropic公式の修正告知やCVEではなく研究者報告として扱います。

Claudeのメモリを全部削除する必要がありますか?

一律に削除する必要はありませんが、氏名、勤務先、住所、顧客情報、本人確認に使う情報など、継続利用に不要な情報は保存しない方が安全です。

Web検索をオフにすれば安全ですか?

今回の経路は減らせますが、接続アプリやMCP、貼り付けた文書など別の入力経路があります。機能ごとの権限と保存情報も確認します。

Google Driveやメールの接続は危険ですか?

接続自体が直ちに危険という意味ではありません。必要なサービスだけ接続し、読み取り・書き込み権限、共有範囲、対象データを最小化します。

怪しいサイトをClaudeが読んだ後はどうしますか?

会話を止め、アクセス先、ツール履歴、接続サービス、送信や変更の有無を確認します。秘密情報が露出した可能性があれば認証情報を失効・再発行します。