GoPlusはClaude Chromeの高危険脆弱性を発見し、GmailとDriveが無音で盗まれる可能性があります。

安全監控プラットフォーム GoPlus は 3 月 27 日に高危険警報を発し、Anthropic Claude Chrome ブラウザ拡張機能に高危険な Prompt 注入脆弱性が存在し、バージョン 1.0.41 未満のインストールに影響を与え、ユーザー 300 万人以上に影響を及ぼすと指摘した。攻撃者は Google Drive のファイルを読み取り、ビジネス Token を盗み、ユーザーの名義で電子メールを送信することができる。

脆弱性の原理：2 つの弱点が組み合わさり完全な攻撃チェーンを形成

この脆弱性は 2 つの独立したセキュリティ欠陥が組み合わさって高危険な攻撃経路を構成している。

第一の弱点：Claude Chrome 拡張機能の過度なサブドメイン信頼 Claude Chrome 拡張機能のメッセージングメカニズムは、すべての *.claude.ai サブドメインからの指示を通過させることを許可しており、メッセージタイプ onboarding_task の一部は外部の Prompt を直接受け入れ、Claude に実行を委ねることができ、より細かいソース検証が行われていない。

第二の弱点：Arkose Labs の CAPTCHA コンポーネントの DOM ベースの XSS 脆弱性 Anthropic は、第三者の CAPTCHA サプライヤー Arkose Labs を使用しており、その CAPTCHA コンポーネントは a-cdn.claude.ai にホストされている——これは *.claude.ai の信頼範囲に属するサブドメインである。セキュリティ研究者は古い CAPTCHA コンポーネントにおいて DOM ベースの XSS 脆弱性を発見した：コンポーネントは外部メッセージを受信する際に送信者の身元を検証せず（event.origin をチェックしていない）、ユーザーが制御可能な文字列を直接 HTML としてレンダリングし、何のクリーン処理も行っていない。

完全な攻撃チェーン：被害者が悪意のあるウェブページにアクセス → バックグラウンドで XSS 脆弱性を含む Arkose iframe が静かに読み込まれる → 悪意のある Payload が a-cdn.claude.ai ドメイン内で実行される → サブドメイン信頼のホワイトリストを利用して Claude 拡張機能に悪意のある Prompt を送信し、自動的に実行される。全過程は見えない隠し iframe 内で完了し、被害者はまったく気付かない。

攻撃者ができること：アカウントが無感知で完全に乗っ取られる

攻撃が成功した場合、攻撃者は被害者のアカウントに対して以下の操作を実行でき、全過程でユーザーの許可やクリックは一切不要である：

· Gmail アクセストークンを盗む（Gmail、連絡先への持続的なアクセスが可能）

· Google Drive 内のすべてのファイルを読み取る

· Claude の完全なチャット履歴をエクスポートする

· 被害者の名義で電子メールを送信する

· バックグラウンドで新しいタブを作成し、Claude サイドバーを開き、任意のコマンドを実行する

修正状況とセキュリティ提案

この脆弱性は完全に修正された：Anthropic は 2026 年 1 月 15 日に Claude Chrome 拡張機能を修正し、新しいバージョンはからのリクエストのみを許可する；Arkose Labs は 2026 年 2 月 19 日に XSS 脆弱性を修正し、2026 年 2 月 24 日に再検査を行い、問題が解決されたことを確認した。GoPlus の今回の警報は、未だに旧バージョンを使用しているユーザーに対して早急にアップグレードするよう促すものである。

GoPlus は以下のセキュリティ提案を行う：Chrome ブラウザの chrome://extensions にアクセスし、Claude 拡張機能を見つけ、バージョン番号が 1.0.41 以上であることを確認する；不明なソースからのフィッシングリンクに警戒する；AI エージェントアプリケーションは「最小権限の原則」を遵守するべきである；高感度の操作に関しては人工の二次確認（Human-in-the-loop）メカニズムを導入するべきである。

よくある質問

私の Claude Chrome 拡張機能のバージョンが安全かどうか確認するにはどうすればよいですか？

Chrome ブラウザの chrome://extensions にアクセスし、Claude 拡張機能を見つけてバージョン番号を確認します。バージョンが 1.0.41 以上であれば脆弱性は修正されています；1.0.41 未満であれば、すぐに最新バージョンに更新または再インストールしてください。

この脆弱性はユーザーが悪意のあるリンクをクリックする必要がありますか？

必要ありません。ユーザーが悪意のあるウェブページにアクセスするだけで、攻撃はバックグラウンドで静かに実行され、クリック、承認、確認の操作は一切不要です。全体の攻撃チェーンは隠された iframe 内で完了し、被害者は完全に気付かない。

Anthropic は修正を完了したのに、なぜまだ更新が必要ですか？

一部のユーザーはブラウザ拡張機能の自動更新を有効にしていないため、1.0.41 未満の古いバージョンを使用し続けている可能性があります。GoPlus の警報は、このようなユーザーに対してバージョンを確認し、手動でアップグレードするよう促すものであり、安全を確保するためです。