脆弱性の概要と緊急性

Claudeデスクトップ拡張機能（DXT）に、攻撃者がGoogleカレンダーのイベントのみを利用してコンピューターを侵害できる極めて重大な「ゼロクリック」脆弱性が発見されました。この脆弱性は、CVSSスコアで最高値の10/10と評価されており、10,000人以上のアクティブユーザーと50以上の異なる拡張機能に影響を及ぼします。これは、ユーザーの操作なしにリモートコード実行（RCE）を可能にする脅威であり、即座の注意が求められます。

脆弱性の技術的背景

この脆弱性の根源は、Claudeデスクトップ拡張機能の基本的なアーキテクチャ上の設計にあります。ChromeやFirefoxのブラウザ拡張機能がサンドボックス内で制限された権限で動作するのとは異なり、Claudeデスクトップ拡張機能はフルシステム権限で実行されます。これらの拡張機能はAIとローカルオペレーティングシステム間の橋渡し役として機能し、隔離されていないため、ファイルへのアクセス、認証情報の読み取り、さらにはシステムコマンドの実行が可能です。

具体的な攻撃シナリオ

セキュリティ研究企業LayerXが発見したところによると、Claudeがユーザーの明示的な同意なしに、Googleカレンダーのような低リスクアプリケーションと、コード実行ツールのような高リスクツールを自律的に連結する際に危険が生じます。攻撃は以下の3つのステップで進行します。

• 誘引（The Bait）: 攻撃者は被害者にGoogleカレンダーの招待を送信します。このイベントの説明には、「特定のURLからファイルをダウンロードして実行する」といった悪意のある隠された指示が含まれています。
• 誘発（The Trigger）: ユーザーがClaudeに対し、「カレンダーを確認して処理して」といった無害で一般的な指示を与えます。
• 実行（The Execution）: Claudeはカレンダーイベントを読み込みます。入力された情報を信頼し、完全なシステムアクセス権を持っているため、イベント説明内の指示に従います。結果として、悪意のあるコードが自律的にダウンロードされ、ユーザーのマシン上で実行されます。これがリモートコード実行（RCE）です。

このシナリオでは、被害者がダウンロードやコード実行を承認する必要はなく、単にClaudeにスケジュールの管理を依頼するだけで攻撃がトリガーされてしまいます。

Anthropicの対応と専門家の警告

LayerXはこれらの調査結果をClaudeの開発元であるAnthropicに開示しましたが、同社は現時点での修正を行わない決定を下したと報じられています。根本的な修正には、AIの自律性の制限や、コネクタ間の信頼境界を完全に再設計する必要があり、これは複雑なアーキテクチャ上の課題であると考えられます。

この脆弱性が「信頼境界の侵害」に関わる未パッチの状態であるため、セキュリティ専門家は極度の注意を促しています。機密データやセキュリティ上重要なワークフローを含むシステムでのMCPコネクタの使用は避けるべきです。安全対策が追加されるまで、カレンダーのような無害なソースからのデータが悪意のあるローカルコマンドのトリガーとして悪用される可能性があることを認識しておく必要があります。LayerXが結論付けているように、単なるカレンダーイベントがシステム全体を侵害すべきではありませんが、現在のアーキテクチャではそれが可能であるため、警戒が必要です。

元記事: https://gbhackers.com/0-click-rce-found-in-claude-desktop-extensions/