Claude がハッカーに米音楽祭チケット発行の脆弱性を発見させる

原題: Claude Helped a Hacker Find a Way to Issue Tickets to Almost Every US Music Festival

なぜ重要か

AI ツールの自動ハッキング能力の現実的リスクを示す事例。重要インフラだけでなく、民間企業のシステムにも大規模脆弱性発見が可能になることで、AI セキュリティと責任ある開示の重要性が加速する。

セキュリティ研究者イアン・キャロルが、Anthropic の AI ツール Claude Opus 4.7 を使用し、Lollapalooza から Bonnaroo まで米国のほぼ全ての音楽祭のチケット販売を手がける Front Gate Tickets のシステムへの不正アクセス方法を発見。研究者は、チケット価格に関わらず任意の枚数のチケットを無料で発行可能な脆弱性を突き止めた。2024 年 4 月のことで、キャロルは Front Gate に報告済み、同社は 24 時間以内にパッチを適用したと述べている。

セキュリティ研究者イアン・キャロルが、Anthropic の Claude Opus 4.7 を活用し、ライブネイション傘下の Front Gate Tickets にアクセスする脆弱性を発見した。Front Gate Tickets は Lollapalooza、South by Southwest、Austin City Limits など米国のほぼ全ての主要音楽祭のチケット販売を取り扱っている。

キャロルが発見した脆弱性は、Front Gate のウェブサイトのバグを悪用するもので、これを利用することで管理者アクセスを獲得し、数百万件の顧客またはスタッフレコードにアクセス可能となり、任意のイベント、任意の金額のチケットを自由に発行できた。キャロルは 4,000 ドルのチケットを無制限に発行できたほか、VIP バックステージパスなど売り切れのチケットも取得可能だったと述べている。

キャロルはスタートアップ Seats.aero を運営する傍ら、独立したセキュリティ研究を行っており、この脆弱性を悪用せず、Front Gate に報告した。同社は声明で、24 時間以内に問題を解決し、チケットの悪用や顧客情報の流出は確認されていないと発表。この脆弱性は、AI 支援ツールを使用してファイアウォール セキュリティ制御を回避し、音楽祭の入場ゲートで使用される内部 API にアクセスするものだった。

キャロルは Anthropic のサイバー検証プログラムの参加者で、認可されたセキュリティ研究者は特定のハッキング機能のためにそのツールを使用可能。キャロルは Claude が自分の技術要素をいかに容易に生成したかに驚いたと述べ、「Claude がエンド・ツー・エンドでこのエクスプロイトを自分が何もしなくても発見できた可能性は非常に高い」とコメントしている。

出典

wired.com — 元記事を読む →