Anthropic社のClaude Desktopアプリケーションをリモートコード実行(RCE)の手段に変えてしまう新たな攻撃チェーンが発見されました。この手法はフィッシングメールも従来型のマルウェアも必要とせず、代わりに正規のAIアシスタント機能である「アカウント設定の同期」を悪用します。
Pentera社の調査は、侵害された第三者のメール集約プラットフォーム(複数アカウントを一元管理する受信トレイ管理ダッシュボード)からの横展開に端を発しています。
研究者らはこのプラットフォームの認証上の欠陥を突くことで、数千件に及ぶ実際のユーザーの受信トレイへのアクセスを獲得しました。そしてこれを足がかりに、パスワードリセットやマジックリンクを通じて被害者のClaudeアカウントへと侵入していきました。
研究チームは侵害後の一般的な行動を追う代わりに、Claude Desktopの「Personal Preferences(個人設定)」フィールドに着目しました。これはユーザーが編集可能なプロンプトで、アカウントに紐づくすべてのセッションとデバイスにわたって同期される仕組みです。
このフィールドはClaudeの応答内容を直接左右するため、これを制御できればUIを変更したり目に見える警告を発生させたりすることなく、アシスタントの挙動を事実上支配できてしまいます。
Pentera社のセキュリティ研究者は、Claudeに対しコマンド実行が可能なツールがインストールされていないか列挙させ、存在すればコマンドを実行し、存在しなければ偽のエラーをシミュレートするよう指示するプロンプトインジェクションのペイロードを作成しました。
このペイロードはPersonal Preferencesに挿入する前にエンコードされており、判読可能な悪意あるテキストではなく無害なデータの塊のように見えるようになっていました。これにより、人間による目視確認と自動監査の両方をすり抜けることが可能になっています。
コマンド実行が可能な拡張機能(例えばローカルでの実行を可能にするMCPツールであるDesktop Commanderなど)が既にインストールされている場合、汚染されたPersonal Preferencesは通常のユーザー操作中にサイレントなコマンド実行を引き起こします。被害者がいつも通りClaudeとチャットしている裏側で、アシスタントが攻撃者の指定したコマンドを実行してしまうのです。
そうした拡張機能が存在しない場合は、Claude自体がソーシャルエンジニアリングの層として機能します。注入されたプロンプトによってClaudeはエラーコードやインストール手順まで揃った、いかにも本物らしい偽のエラーメッセージを表示し、被害者にDesktop Commanderをインストールするよう仕向けます。
プロンプトも拡張機能のインストールページも正規のものに見えるため、被害者が疑いを抱く余地はほとんどありません。インストールが完了すると、次にユーザーが送信するメッセージによって完全なコマンド実行が引き起こされます。
テストにおいて研究者らは、あらゆるやり取りのたびにClaudeがリモートサーバー上の攻撃者制御下のコマンドを取得・実行するよう仕向けることで、持続的なコマンド&コントロール(C2)を実現しました。これは事実上、被害者自身の手によって無自覚のうちに運用され続ける自己増殖型のC2エージェントへとアシスタントを変貌させるものです。
研究者らは、これは従来の意味でのClaudeの脆弱性ではないと強調しています。単一のコンポーネントが「壊れている」わけではありません。
むしろこのリスクは、複数の正規の設計上の選択が組み合わさることで生まれています。再認証を伴わないデバイス間の設定同期、チャットインターフェースにローカル実行権限を与える拡張機能、そして「権限を持つもの」というよりは「会話相手」のように感じられるアシスタントに対するユーザーの信頼です。
これは、より広範な課題を浮き彫りにしています。AIデスクトップアプリケーションはチャットインターフェースとシステムエージェントの境界をますます曖昧にしつつありますが、多くのユーザーやセキュリティチームは依然としてこれらを単純な質疑応答ツールとして扱っているのが現状です。
翻訳元: https://cyberpress.org/claude-desktop-command-execution-attack/