7月1日、Wiredが「Claude Helped a Hacker Find a Way to Issue Tickets to Almost Every US Music Festival」と題した記事を公開した。セキュリティ研究者がAnthropicの「Claude」を活用し、米国の主要音楽フェスのチケットを枚数制限なく無料発行できる権限を取得した──この事実だけ見れば単なる侵入事例に見えるが、今回の核心はそこではない。ClaudeがWAF(Webアプリケーションファイアウォール)の回避手法を研究者さえ後から理解するほど高度な手法で独力で発見し、攻撃をエンドツーエンドで完結できたという示唆こそが、AIとセキュリティをめぐる議論に新たな文脈をもたらしている。
ClaudeがSQLインジェクションのバイパス手法を自力で発見
セキュリティ研究者のIan Carroll氏は2025年4月、フライト価格検索サービス「Seats.aero」を運営する傍ら、チケット販売会社「Front Gate Tickets」の調査を行った。Front GateはLive Nation Entertainmentの子会社で、Ticketmasterと同じく同グループの傘下に入る。Ticketmasterが個人向け一般チケット販売で広く知られているのに対し、Front GateはLollapalooza、South by Southwest、Austin City Limitsなど、米国のほぼすべての主要音楽フェスのチケット販売を主に担っている(Coachellaは例外)。つまり同社の管理システムへのアクセスは、一企業の問題にとどまらず、米国音楽フェス業界全体のチケットインフラへの侵入口を意味する。
Carroll氏はFront GateのWebサイトを調査中、SQLインジェクション脆弱性(Webサイトのテキスト入力欄にSQL命令を注入し、バックエンドのデータベースを操作する古典的な攻撃手法)の兆候を発見した。しかしサイトにはWAFが設置されており、単純な手法では弾かれてしまった。
そこで彼はAnthropicのCyber Verification Programを通じて利用可能なClaudeに助けを求めた。同プログラムは、Anthropicが承認済みのセキュリティ研究者に対してハッキング用途でのAI利用を許可する仕組みで、通常はポリシー上制限されるサイバーセキュリティ関連のプロンプトを、審査を通過した研究者に限り使用可能にするものだ。元記事ではCarroll氏が使用したモデルとして「Claude Opus 4.7」という型番が記載されているが、本記事執筆時点(2025年7月)における公式モデルラインナップとの対応については元記事の記述に依拠しており、読者は原文を直接確認されたい。
Claudeはすぐにファイアウォールを回避するコードを生成した。Carroll氏はこう振り返る。
「本当に初めて、自分では完全に理解できていない脆弱性に直面した。Claudeが書いたものを後から読み返して、ようやくバイパス手法を理解した。Claudeが完全に独力でやり遂げたんだ」
Claudeが見つけた手法は「ネストされたSQLクエリ」(SQLクエリの中に別のSQLクエリを埋め込む構造)によるWAF回避だった。Claudeはさらにスクリプトを自動生成し、500のデータベーステーブルのサンプルを表示させた。Carroll氏の推定では、この脆弱性により数百万件の顧客情報(氏名・メールアドレス・郵便住所。クレジットカード情報は含まない)と、Front Gateスタッフのデータへのアクセスが可能な状態だった。
スタッフアカウントを乗っ取り、Bonnarooのチケットを自由発行
スタッフデータへのアクセスを足がかりに、Carroll氏はさらに踏み込んだ。スーパー管理者アカウントを特定し、パスワードリセットを実行。リセットコードがサイトのバックエンドにそのまま保存されていたため、それを利用して新しいパスワードを設定し、管理者アカウントを完全に乗っ取ることに成功した。
その後、Bonnarooの高額チケット(1枚4,000ドルのものも確認)をコンプ(無料)チケットとしてカートに追加できることを確認した。
「4,000ドルのチケットを見て、ボタン一つで何枚でも発行できると気づいた。バックステージパスでも、売り切れていても、何でも手に入れられた状態だった」
Carroll氏は実際にはチケットを発行せず(詐欺罪に問われる恐れがあったため)、発見内容をFront Gateに報告した。Front Gateは24時間以内に脆弱性を修正し、「顧客情報への不正アクセスや不正チケット発行の証拠はない」と述べている。また同社は、Carroll氏が連絡する前にすでにネットワークへのアクセスを検知していたとも主張している。
なお、Front Gateは公開後の声明で「多くの高額・VIPチケットはRFIDリストバンドが必要であり、オンラインシステムでは発行不可能だった」とも補足している。
「エンドツーエンドで全部Claudeにできた可能性がある」
Carroll氏が指摘する最大の問題点は二つある。
一つは2段階認証の欠如だ。パスワードさえ知っていれば、追加認証なしで管理者アカウントに即座にログインできる設計だった。この脆弱性がなくても、パスワード漏洩だけでチケット不正発行が可能な状態だったことになる。
もう一つは、Front Gateが人間によるバグハンティングも、AI支援による自動スキャンも十分に実施していなかったと見られる点だ。Carroll氏は語る。
「プロが運営する音楽フェスの裏側は、きちんとしていると思い込んでいた。でも実際にアクセスしてみると、ダクトテープと祈りで成り立っていた」
Carroll氏は「Claudeがこのエクスプロイトを、自分の介入なしにエンドツーエンドで発見できた可能性は十分にある」と述べており、AIによるバグハンティングの脅威レベルを改めて示す事例となった。
Anthropicは「Cyber Verification Programは、世界のコードをより安全にするためのこうした研究を可能にするために作った」とコメント。Carroll氏がプログラム参加者でなければ、Claudeの使用は検知・ブロックされていたとしている。
詳細はClaude Helped a Hacker Find a Way to Issue Tickets to Almost Every US Music Festivalを参照していただきたい。