Security

ITmediaの記事「Claude拡張機能にCVSS10.0の脆弱性　現在も未修正のため注意」によると、LayerX Securityは2026年2月9日（現地時間）、Anthropicが提供する「Claude Desktop Extensions」（以下、DXT）にゼロクリック型のリモートコード実行（RCE）の脆弱性が存在すると報告しました。 Zero-Click RCE Vulnerability in Claude Desktop Extensions Exposes 10,000+ Users というLayerXの評価は、以下の通り極めて深刻なものです。 攻撃難易度：最低 認証：不要 影響範囲：完全破壊 回避策：なし 権限：完全奪取 即時性：ネットワーク経由で即時悪用可能 これらはCVSSスコア 10.0 という、セキュリティ脆弱性評価における最悪のレベルを示しています。 1990年代、ActiveXは「便利さのために権限を渡しすぎた」ことでインターネットを危険地帯に変えました。2020年代、AIエージェントは同じ構造を、より強力かつ危険な形で再現しつつあります。今回のClaude DXTの脆弱性は、まさにその象徴と言えるでしょう。 権限管理と「承認疲弊」の歴史 歴史を振り返ると、テクノロジーの進化と共に「便利さとセキュリティのトレードオフ」が繰り返されてきたことがわかります。AIエージェントの問題は、過去の失敗の延長線上にあります。 1. ActiveX（1996〜） ブラウザにOSレベルの“ネイティブ権限”を渡す仕組みでした。「便利だから」という理由で広い権限が許可され、ユーザーは承認ダイアログに疲弊し、最終的にすべてを許可するようになりました。結果として、ActiveXはマルウェアの温床となりました。 構造：不信頼入力 → 高権限コード実行 2. ブラウザ拡張（2000年代） ブラウザ拡張機能がファイルやネットワークへアクセスできるようになりましたが、権限の粒度が粗く、ユーザーが承認画面を精読することはありませんでした。 構造：利便性のために権限境界が崩壊 3. モバイルアプリ権限（2010年代） 「このアプリは連絡先・カメラ・位置情報にアクセスします」という承認フローが定着しましたが、形骸化しました。ユーザーはアプリを使いたいがために、無意識に「許可」を押すようになり、結果として個人情報の大量漏洩を招きました。 構造：承認疲弊による“儀式化した許可” 4. AIエージェント（2020年代〜） そして現在、AIエージェントはカレンダー、メール、Webといった「不信頼な入力」を読み込み、LLMが解釈して行動に変換します。権限はブラウザ、ファイル操作、API実行と多岐にわたります。 構造：不信頼入力 → LLMによる解釈 → 高権限アクション ActiveXの再来、しかしより危険な理由 DXTは構造的に「ActiveXのAI版」と言えます。不信頼なWebページ（入力）から、高権限コードの実行につながり、ユーザーの承認プロセスが機能しない点において、両者は共通しています。 しかし、決定的な違いがあります。それは攻撃ベクトルが 「コード」ではなく「自然言語（文章）」 であるという点です。 攻撃に「技術力」が不要になった かつてのActiveX時代、攻撃を実行するには最低限の技術力が必要でした。 COMオブジェクトやOS権限モデルの理解 JavaScriptやVBScriptのコーディングスキル つまり、攻撃者は「技術者」である必要があり、攻撃のコストと敷居はそれなりに高いものでした。 一方、AI時代の攻撃（今回のDXT脆弱性など）は、その敷居を劇的に下げています。 カレンダーは外部から汚染されやすい（ICSファイルは誰でも送付可能） メールから予定が自動生成される 共有カレンダーには誰でも書き込める 攻撃者は「カレンダーの予定に文章を書く」だけでAIを乗っ取ることが可能です。コーディングも、AIの専門知識も、LLMの深い理解も必要ありません。必要なのは 「文章を書く能力」 だけです。 脆弱性の質的変化 今回の事例と、従来の脆弱性を比較すると、その性質の違いが浮き彫りになります。 ...

日本のデジタルトランスフォーメーション（DX）やデータ活用が進む中で、企業倫理やプライバシー保護の観点が欠落し、社会的な批判を浴びる事例が繰り返されています。 ここでは、過去に日本で発生した象徴的な「データ活用における企業の暴走・失敗」事例を振り返り、その本質的な問題点を整理します。 1. JR東日本 Suicaデータ販売事件（2013年） 事案 JR東日本が、氏名などを削除した（と称する）Suicaの乗降履歴データを、利用者への十分な説明や明確な同意プロセスを経ずに社外（日立製作所）に販売しようとした事例です。 失敗の本質 JRはSuicaの履歴を個人情報とは考えておらず、これは、統計的に見れば誤った認識であり、3か所のロケーションとそこを通った時間を特定できれば9割以上の確率で個人を特定できることが示唆されています。Suicaの番号や氏名がなくても、IDだけが個人情報ではないという認識が欠如していました。移動履歴は個人の行動パターンを詳細に記録した極めてプライバシー性の高い情報（強い識別子）です。特定の個人を追跡したり、ストーカーなどの犯罪に悪用されたりするリスクに対する想像力が欠如していました。また、利用者に黙ってデータを収益化しようとした「不誠実な企業姿勢」が強い反発を招きました。 結果 世論の猛反発と有識者からの集中砲火を受け、計画は撤回されました。この事件は、その後の個人情報保護法の改正（匿名加工情報の規定など、規制強化）を招く大きなきっかけとなりました。 2. 武雄市図書館・CCC選書事件（2013年〜） 事案 佐賀県武雄市が公共施設である図書館の運営にTSUTAYA（カルチュア・コンビニエンス・クラブ：CCC）を指定管理者として導入し、Tポイントカードと図書の貸出履歴を連携させようとした事例です。 失敗の本質 図書館界で長年守られてきた「図書館の自由に関する宣言」（読書事実の秘密を守る）という倫理規定を軽視し、図書館を「商業的なマーケティングデータ収集の場」と化そうとしました。市民の思想・信条や知的関心が追跡・プロファイリングされることへの、生理的な拒絶反応を読み誤りました。 結果 政治的な大ハレーションを引き起こし、反対運動が展開されました。当時の市長が後に政界から退く要因の一つともなりました。「公共空間×データビジネス」の典型的な失敗例として記憶されています。 3. リクルート（リクナビ）内定辞退率予測モデル事件（2019年） 事案 リクルートキャリアが運営する就職情報サイト「リクナビ」において、就活生のWeb閲覧履歴などをAIで分析して「内定辞退率」を算出・スコアリングし、それを採用企業側に有償で販売していた事例です。 失敗の本質 圧倒的に立場の弱い就活生を食い物にする、倫理観の欠如が指摘されました。学生は「就職活動を支援してくれるツール」と信じて利用していたにもかかわらず、裏では自分たちを「選別・切り捨て」するための道具としてデータが利用されていたという、明白な信義則違反がありました。また、リクルートは内定辞退率のモデル化が、就活生に対する新たな差別や不利益に繋がる可能性について十分に考慮していませんでした。 結果 事業は廃止され、政府からの行政指導が行われました。この事件は「AIによるプロファイリング」や「HRテック」に対する社会的な不信感を決定づけ、データの扱いに関する企業の責任が厳しく問われる転換点となりました。 4. セブン・ペイ（7pay）不正アクセス事件（2019年） 事案 セブン＆アイ・ホールディングスが鳴り物入りで開始したバーコード決済サービス「7pay」において、サービス開始直後からセキュリティの脆弱性を突かれた第三者による不正アクセスとチャージ被害が多発。わずか3ヶ月でサービス終了に追い込まれました。 失敗の本質 当時の経営陣が二段階認証の概念すら理解していなかった点（記者会見での「2段階認証？」発言が象徴）は、サービス提供における基本的なセキュリティ意識と想像力の欠如を浮き彫りにしました。既存の決済手段（nanaco）があるにも関わらず、グループID統合という「企業都合」を最優先し、セキュリティ検証を軽視して納期ありきでリリースを急いだ結果です。 結果 サービスは廃止され、被害総額は約3800万円に上りました。何より、巨大流通グループであるセブン＆アイHDのデジタル戦略全体への信頼が失墜するという、計り知れないダメージを残しました。 結論：信頼なきデータ活用に未来はない これらの事例に共通するのは、**「ユーザー（生活者）の視点の欠落」と「企業都合の優先」**です。 「データは石油である」といった言葉に踊らされ、そこにあるのが「生身の人間のプライバシー」であることを忘れた時、企業は手痛いしっぺ返しを受けます。 技術的に可能であることと、倫理的に許容されることはイコールではありません。法的な整合性だけでなく、「それはユーザーにとって気持ち悪いことではないか？」「裏切られたと感じないか？」という倫理的な問いを常に立て続けることが、データ活用社会における企業の最低限の責務と言えるでしょう。 端的に言えば、全ての例が物語っているのは、「ぼくのかんがえたさいきょうの〇〇」が足元を見ていなかったということです。

2025年10月30日、「世界初！暗号領域の情報が読み取れるSuicaビューア公開」という衝撃的な発表がX（旧Twitter）で大きな注目を集めました。しかし、このニュースに触れた多くのセキュリティ専門家は、その内容以前に、発表を行った企業の姿勢に強い懸念を抱いたのではないでしょうか。 問題となっているのは、アンノウン・テクノロジーズ株式会社です。同社は過去にもFeliCaの脆弱性を発見し、7月に関係機関へ報告したものの、修正が完了する前の8月に共同通信の取材に応じて未公開の脆弱性情報を公表し、物議を醸しました。これを受けて9月には経済産業省が、情報処理推進機構（IPA）と連携し、脆弱性情報の取り扱いに関する注意喚起を改めて行う事態にまで発展しています。 脆弱性を発見された方は、受付機関であるIPAへの届出を行っていただき、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談いただくようお願いいたします。 今回の発表は、こうした経緯を無視するどころか、さらに問題を深刻化させるものです。本稿では、なぜこの企業の行動が「ブラックハット的」と批判されるのか、その論点を整理し、セキュリティ企業に求められるべき倫理とは何かを考察します。 論点1: 無視された「責任ある開示」の原則 セキュリティの世界には、**「責任ある開示（Coordinated Vulnerability Disclosure, CVD）」**という、発見した脆弱性を扱うための世界共通の倫理規範が存在します。これは、脆弱性の発見者、製品開発者（ベンダー）、そして調整機関（日本ではIPA）が連携し、修正パッチが一般に提供されるタイミングで情報を公開するという、社会全体の安全性を最大化するための協調的なプロセスです。 アンノウン・テクノロジーズ社の行動は、この大原則を完全に踏みにじるものです。修正前に情報を公開することは、悪意ある第三者に攻撃のヒントを与えることに他ならず、ユーザーを無用な危険に晒す行為です。経済産業省が指摘する「正当な理由」とは、既に大規模な攻撃が発生しており、注意喚起が急務であるといった「今そこにある危機」に限定されるべきです。それ以外の理由でExploit（攻撃コード）に類する情報を公開することは、無責任の誹りを免れません。 実際、CEOがビューアに書き込み機能を付けていない、理由として「絶対残高を書き換える奴が出るので禁止してある」としていますが、経験上、読み込み系の機能があれば、ある程度、そこから、書き込みの機能を類推するのは可能です。つまり、コードの悪用可能性は十分認識しているはずです。そのような、状態で責任を負えるでしょうか？ ステップ 善意の技術者（正規のCVDプロトコル） アンノウン・テクノロジーズの行動（逸脱パターン） ① 発見・報告 脆弱性関連情報を発見後、まず中立機関であるIPAに届出し、情報を秘匿する。 脆弱性関連情報を発見後、IPAに届け出た後、あるいは前に情報を保持する。 ② 調整・通知 IPAはJPCERT/CCに通知。JPCERT/CCは秘密裏に製品開発者（ベンダー）を特定し、対策を依頼する。 このプロセスを尊重せず、秘密裏に行われている調整の途中で動く。 ③ 修正期間 製品開発者が対策パッチを作成する間、発見者は情報を第三者に漏らさない（非開示義務）。 この修正期間中に、一般メディア（共同通信）やSNS（X）へ情報を開示・宣言する。 ④ 公表 修正パッチが利用可能になったことを確認した上で、発見者・調整機関・ベンダーが同時に情報を公表する。 修正が完了する前に情報を公表し、社会的な混乱とベンダーの緊急対応を誘発する。 ⑤ 目的 社会全体のリスクを最小化し、ユーザーの安全を最優先する。 技術的なアテンション（注目）とビジネス上の宣伝効果を最優先する（と見なされる）。 論点2: 社会インフラを揺るがす無責任な行為 FeliCaは単なるICカード技術ではありません。日本の交通や決済を支える 極めて重要な社会インフラ の一部です。その根幹技術の信頼性を一方的に毀損する行為は、技術的な興味やビジネス上の利益をはるかに超えた、重大な社会的責任を伴います。 今回の件で、ソニーや関連事業者は、本来不要であったはずの緊急対応や調査に多大なリソースを割かざるを得なくなりました。こうしたコストは、巡り巡ってサービス利用料や製品価格に転嫁され、最終的には社会全体が負担することになります。技術的な脆弱性以上に、セキュリティコミュニティの信頼関係を破壊し、社会に無用な混乱とコストをもたらした「迷惑」は計り知れません。 論点3: 信頼を損なうFUDマーケティング 「世界初！」「衝撃的な発表」といった扇情的な言葉は、冷静かつ客観的であるべきセキュリティの報告には不要なものです。むしろ、こうした表現は、顧客の不安や恐怖を煽り、自社のサービスを売り込む FUD（Fear, Uncertainty, and Doubt）マーケティング の典型的な手法と見られても仕方ありません。CEOがXで「世界初！」と宣言した行為そのものがどう見てもアテンション中毒です。 真に顧客の安全を考えるプロフェッショナルは、いたずらに恐怖を煽るのではなく、静かにリスクを分析し、着実な対策を提示することで信頼を得ます。すべての行動が 「アテンション（注目）を獲得し、それをセールスに繋げる」 という短絡的な目的に集約されているように見える姿勢は、長期的な信頼関係を基礎とするセキュリティビジネスの倫理観とは相容れないものです。 論点4: 信頼性の根幹を揺るがす経営実態 さらに、同社の信頼性に疑問符を付けるのが、その経営実態です。 衝撃の事実①：資本金1万円 サイバーセキュリティは、顧客の事業継続に直結する極めて重要な領域です。その責任を担う企業が、事業継続性や万が一の際の補償能力を全く感じさせない資本金額であることは、事業へのコミットメントを疑わざるを得ません。 衝撃の事実②：バーチャルオフィス 登記上の住所である「東京都千代田区九段南」は、調査の結果、**コワーキングスペースの住所貸し（バーチャルオフィス）**であることが確認されています。物理的な拠点の有無が問題なのではありません。高度な機密情報を扱うセキュリティ企業が、その実態を曖昧にしかねないサービスを利用しているという事実が、顧客の信頼を損なうのです。 これらは、高度な専門企業を装う 「見栄（外見）」と「実態（資金力と責任感）」 の深刻な乖離を示しており、組織としての信頼性を根底から揺るがすものです。 結論: 我々は何を基準に専門家を選ぶべきか アンノウン・テクノロジーズ社の一連の行動は、IT業界に身を置く者として、レッドラインを越えています。これは、技術力さえあれば何をしても許されるという、危険な前例になりかねません。 企業や個人がセキュリティの専門家やパートナーを選ぶ際には、その技術力だけでなく、高い倫理観、社会に対する責任感、そしてそれを裏付ける安定した経営基盤 を持っているかどうかを、これまで以上に厳しく見極める必要があります。今回の事例は、その重要性を改めて我々に突きつける、重い教訓と言えるでしょう。

はじめに：過去の技術「ActiveX」の記憶 日経クロステックに掲載された記事「このままだとMCPはAI時代のActiveXになるかもしれない」は、現代の技術者にとって示唆に富む警鐘を鳴らしています（注：元記事は有料のため、本稿はタイトルから着想を得た独自の論考です）。 かつて、Webにリッチな機能をもたらすと期待されたMicrosoftの「ActiveX」。それは多くの可能性を秘めていた一方で、深刻なセキュリティホールを無数に生み出し、やがて「負の遺産」としてインターネットの片隅に追いやられました。 そして今、AIが自律的にタスクを遂行するための技術「MCP（Model Context Protocol）」が、奇しくもActiveXと同じ道を歩むのではないかという懸念が生まれています。 技術ブームと危機のサイクルは繰り返す 歴史を振り返れば、革新的な技術は常に熱狂と共に迎えられ、やがてその反動ともいえる危機に直面してきました。 新たな可能性の登場: 新技術が、これまでにない利便性や機能性を約束します。MCPは、AIを私たちのデジタル世界にシームレスに統合する未来を提示しています。 熱狂的な採用: 「とにかく実現させよう」という熱意に後押しされ、開発者や企業はリスクを顧みず技術を導入します。長期的なセキュリティや倫理的な影響よりも、迅速な実装が優先されます。 警告の軽視: 専門家からの警告は「過度に慎重すぎる」と一蹴され、潜在的なリスクは目先の利益のために軽視されます。 避けられない破綻: やがて、設計上の欠陥や考慮不足が原因で、大規模なセキュリティインシデントやシステムの失敗が発生し、社会的な信頼を失います。 危機後の再調整: 甚大な被害が出た後、業界は初めて重い腰を上げ、堅牢な基準の構築を始めます。しかし、それは多くの信頼と資産が失われた後なのです。 現在のMCPへの期待は、かつてのActiveXやドットコムバブルの熱狂と酷似しています。輝かしい未来の可能性は、その根底にあるはずの根本的な欠陥から人々の目を逸らさせてしまうのです。 ActiveXより深刻？「非決定性」という最大のリスク ここで、ActiveXとMCPの決定的な違いを指摘しなければなりません。それは**「挙動が決定論的か、非決定論的か」**という点です。 ActiveXは、その動作がコードによって規定されていました。悪意のあるコードが実行されれば問題は起きますが、少なくともその動作は（理論上は）追跡可能で、決定論的でした。 しかし、MCPはAIを基盤としています。AIの動作は本質的に非決定論的です。つまり、同じ入力に対しても、常に同じ結果を返すとは限りません。開発者ですら、AIが次にどのような判断を下すかを100%予測することは不可能なのです。 例えば、海外と国内の価格を比較し、自動で商品を売買するAIエージェントを考えてみましょう。 もしAIが、急激な為替レートの変動を「一時的なノイズ」と誤学習したら？ もしAIが、競合のセール価格を「恒久的な市場価格」と誤解釈したら？ その結果生じる損失は、もはや誰にも想定できません。ローカルPCへの被害が主だったActiveXとは異なり、MCPが引き起こすリスクは、グローバルな経済活動にまで影響を及ぼしかねないのです。 結び：私たちは過去の失敗から何を学ぶべきか MCPやAIエージェント技術が、私たちの未来を豊かにする大きな可能性を秘めていることは間違いありません。しかし、その輝かしい側面だけを見て、リスクから目を背けるべきではありません。 ActiveXの失敗が私たちに与えた最大の教訓は、**「利便性と安全性は決してトレードオフの関係にしてはならない」**ということです。 「速く動いて、まず動くものを作れ」という開発思想は、時としてイノベーションを加速させます。しかし、その"破壊"の対象がユーザーの信頼や資産であるならば、話は全く別です。 私たちは今、歴史の岐路に立っています。開発者、企業、そして社会全体が、この新たな技術とどう向き合うべきか。過去の失敗から学び、慎重な議論と堅牢な設計思想を持つこと。それこそが、AIエージェントが真に人類の利益となる未来への唯一の道ではないでしょうか。