C
月内に
Anthropic社のChrome拡張機能「Claude for Chrome」に、悪意のある他の拡張機能がユーザーに代わって操作を実行できる脆弱性
📌 一言でいうと
Anthropic社のChrome拡張機能「Claude for Chrome」に、悪意のある他の拡張機能がユーザーに代わって操作を実行できる脆弱性が発見されました。この欠陥により、攻撃者はユーザーのGmail、Googleドキュメント、カレンダーなどの機密情報を読み取ることが可能です。特に「Act without asking(確認せずに実行)」モードを有効にしているユーザーは、確認プロンプトなしで攻撃を受けるリスクがあります。
🔍該当判定
- Google Chromeブラウザに「Claude for Chrome」拡張機能をインストールしている
- Claude for Chromeの設定で「Act without asking(確認せずに実行)」を有効にしている
- Claude for Chromeを導入し、かつGmailやGoogleカレンダー、Googleドキュメントを連携させて利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Claude for Chrome 拡張機能の設定を確認し、「Act without asking」モードを無効にする。2. 信頼できないサードパーティ製ブラウザ拡張機能のインストールを避ける。3. 拡張機能の最新アップデートを適用する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザ拡張機能「Claude for Chrome」の設定確認のお願い
お疲れさまです。情報システム担当です。
AIアシスタントの「Claude for Chrome」拡張機能において、設定によっては外部から不正に操作される可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. Claude拡張機能の設定画面を開き、「Act without asking(確認せずに実行)」という設定が有効になっていないか確認してください。
2. 上記設定が有効な場合は、安全のため「無効(オフ)」に変更してください。
3. 心当たりのない不審なブラウザ拡張機能がインストールされていないか確認し、不要なものは削除してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
AIアシスタントの「Claude for Chrome」拡張機能において、設定によっては外部から不正に操作される可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. Claude拡張機能の設定画面を開き、「Act without asking(確認せずに実行)」という設定が有効になっていないか確認してください。
2. 上記設定が有効な場合は、安全のため「無効(オフ)」に変更してください。
3. 心当たりのない不審なブラウザ拡張機能がインストールされていないか確認し、不要なものは削除してください。
対応期限: 本日中
Subject: [Security Alert] Please check your 'Claude for Chrome' extension settings
Hi everyone,
A vulnerability has been reported in the 'Claude for Chrome' browser extension that could allow unauthorized actions if certain settings are enabled.
What we need you to do:
1. Open the settings for the Claude extension and check if the 'Act without asking' mode is enabled.
2. If it is enabled, please disable it immediately for your security.
3. Review your installed browser extensions and remove any that you do not recognize or trust.
Deadline: End of today
Hi everyone,
A vulnerability has been reported in the 'Claude for Chrome' browser extension that could allow unauthorized actions if certain settings are enabled.
What we need you to do:
1. Open the settings for the Claude extension and check if the 'Act without asking' mode is enabled.
2. If it is enabled, please disable it immediately for your security.
3. Review your installed browser extensions and remove any that you do not recognize or trust.
Deadline: End of today
件名: 【共有】Claude for Chrome 拡張機能の脆弱性への対応について
お疲れさまです。Claude for Chrome に関する脆弱性情報共有です。
■ 概要
悪意のあるブラウザ拡張機能が、Claude for Chrome のタスク起動メカニズムを悪用し、ユーザーの承認なしにアクションをトリガーできる脆弱性が Manifold 社により報告されました。これにより、GmailやGoogleカレンダー等の機密情報へのアクセスが可能です。
■ 影響範囲
- 対象製品: Claude for Chrome (Browser Extension)
- 特に「Act without asking」モードを有効にしているユーザーに高いリスクがあります。
■ 対応手順
1. 社内ユーザーに対し、拡張機能の「Act without asking」設定をオフにするよう周知してください。
2. 信頼性の低いブラウザ拡張機能の利用を制限するポリシーの適用を検討してください。
■ 参考情報
- SecurityWeek 記事: Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Claude for Chrome に関する脆弱性情報共有です。
■ 概要
悪意のあるブラウザ拡張機能が、Claude for Chrome のタスク起動メカニズムを悪用し、ユーザーの承認なしにアクションをトリガーできる脆弱性が Manifold 社により報告されました。これにより、GmailやGoogleカレンダー等の機密情報へのアクセスが可能です。
■ 影響範囲
- 対象製品: Claude for Chrome (Browser Extension)
- 特に「Act without asking」モードを有効にしているユーザーに高いリスクがあります。
■ 対応手順
1. 社内ユーザーに対し、拡張機能の「Act without asking」設定をオフにするよう周知してください。
2. 信頼性の低いブラウザ拡張機能の利用を制限するポリシーの適用を検討してください。
■ 参考情報
- SecurityWeek 記事: Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar
対応優先度: 高
対応期限: 速やかに
Subject: [Security Info] Vulnerability in Claude for Chrome Extension
Hi team,
This is a technical update regarding a vulnerability in the Claude for Chrome extension.
■ Overview
Manifold has reported a flaw where malicious extensions can fake user interactions to trigger Claude to perform tasks. This allows attackers to read sensitive data from Gmail, Google Docs, and Calendar without the user's genuine consent.
■ Scope
- Product: Claude for Chrome (Browser Extension)
- High risk for users with 'Act without asking' mode enabled.
■ Mitigation Steps
1. Instruct users to disable the 'Act without asking' setting in the extension options.
2. Review and enforce policies regarding the installation of unverified browser extensions.
■ Reference
- SecurityWeek: Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar
Priority: High
Deadline: Immediate
Hi team,
This is a technical update regarding a vulnerability in the Claude for Chrome extension.
■ Overview
Manifold has reported a flaw where malicious extensions can fake user interactions to trigger Claude to perform tasks. This allows attackers to read sensitive data from Gmail, Google Docs, and Calendar without the user's genuine consent.
■ Scope
- Product: Claude for Chrome (Browser Extension)
- High risk for users with 'Act without asking' mode enabled.
■ Mitigation Steps
1. Instruct users to disable the 'Act without asking' setting in the extension options.
2. Review and enforce policies regarding the installation of unverified browser extensions.
■ Reference
- SecurityWeek: Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar
Priority: High
Deadline: Immediate