AIが29年間見つからなかった脆弱性を発見|Squidbleedの衝撃

AIが29年間見つからなかったSquid Proxyの脆弱性Squidbleedを発見したイメージ

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube

この記事でわかること:

  • Anthropic社のAI「Claude Mythos」が29年間見過ごされた重大な脆弱性を発見
  • 「Squidbleed」と名付けられたこのバグは世界中のネットワークに影響
  • AIが1,000のプロジェクトから23,019件の脆弱性を発見した驚異的な実績
  • 人間の専門家では気づけない規模のセキュリティ監査が可能に

29年間見つからなかった重大バグをAIが発見

2026年6月23日、セキュリティ業界に衝撃が走りました。Anthropic社が開発したAI「Claude Mythos」が、29年間誰も気づかなかった重大な脆弱性を発見したのです。

この脆弱性は「Squidbleed(スクイッドブリード)」と名付けられ、CVE-2026-47729という識別番号が割り当てられました。影響を受けるのは、世界中の企業や学校で使われている「Squid Proxy(スクイッド・プロキシ)」というソフトウェアです。

プロキシとは、インターネットとユーザーの間に立って通信を中継する仕組みのことです。つまり、多くの組織のネットワークセキュリティの要となる部分に、30年近く穴が開いていたことになります。

この発見を主導したのは、Calif.ioのセキュリティ研究者Lam Jun Rong氏です。同氏はAnthropic社の「Claude Mythos Preview」を使ってSquidのコードを分析し、人間では見落としやすい微妙なバグを発見しました。

Squidbleedとは?どんな脆弱性か

Squidbleedは、Squid Proxyのすべてのバージョンに存在する「メモリリーク(記憶領域からの情報漏洩)」の脆弱性です。簡単に言えば、本来読めないはずのメモリ領域を読み取られてしまう欠陥です。

この名前は、2014年に発見された有名な脆弱性「Heartbleed(ハートブリード)」にちなんでいます。Heartbleedも同じくメモリから情報が漏れる問題で、当時世界中のサーバーに影響を与えました。

Squidbleedの恐ろしい点は、デフォルト設定(初期設定のまま)で脆弱性が有効になっていることです。つまり、特別な設定をしていない限り、ほぼすべてのSquidユーザーが影響を受ける可能性があります。

具体的には、同じプロキシを使っている他のユーザーのHTTPリクエスト(ウェブサイトへのアクセス情報)が漏れてしまいます。その中には、パスワード、APIキー(プログラムが使う秘密の鍵)、セッショントークン(ログイン状態を保つための情報)などが含まれる可能性があります。

どうやって情報が漏れるのか(技術的な仕組み)

この脆弱性の原因は、1997年1月のコード変更にまで遡ります。当時、古いNetWare FTPサーバー(ファイル転送用のサーバー)に対応するために加えられた修正が、実は重大なバグを含んでいました。

問題はSquidのFTPパーサー(FTP通信を解析する部分)にあります。具体的には、C言語の「strchr」という関数の微妙な動作が原因です。この関数は文字列の中から特定の文字を探すのですが、文字列の終端(ヌル文字)も「文字列の一部」として扱います。

攻撃者が特別に細工したFTPサーバーを用意すると、Squidのパーサーはファイル名がない不完全なリスト応答を受け取ります。すると、プログラムのポインタ(メモリ上の位置を示す目印)が文字列の終端を指すのですが、strchrはそこで止まらず、本来読むべきではないメモリ領域へと進んでしまうのです。

さらに問題なのは、Squidがメモリを解放した後にゼロで埋めない(クリアしない)ことです。つまり、以前に別のユーザーが送信したHTTPリクエストのデータが、メモリ上に残ったままになっています。攻撃者はこの残留データを読み取ることで、他人の認証情報を盗み見ることができてしまいます。

影響を受ける環境と実際のリスク

Squidbleedが最も危険なのは、複数のユーザーが同じプロキシを共有している環境です。具体的には以下のような場所が該当します。

  • 企業や組織のネットワーク
  • 学校や大学のキャンパスネットワーク
  • カフェや空港などの公共Wi-Fi
  • マンションやホテルの共有インターネット接続

これらの環境では、攻撃者も「正規のユーザー」として同じプロキシを使える立場にあります。つまり、インターネット上の見知らぬ誰かではなく、同じネットワーク内の悪意ある人物が脅威になるのです。

ただし、攻撃にはいくつかの条件があります。まず、プロキシがポート21(FTPの標準ポート)への接続を許可している必要があります。また、HTTPSで暗号化された通信は影響を受けにくく、主に暗号化されていないHTTP通信が標的になります。

それでも、多くの内部システムや古いウェブアプリケーションはまだHTTPを使っているため、リスクは決して小さくありません。特に、社内の管理画面やAPIへのアクセスが漏洩すれば、組織全体のセキュリティが危険にさらされる可能性があります。

AIによる大規模セキュリティ調査の衝撃

Squidbleedの発見は、「Project Glasswing(プロジェクト・グラスウイング)」という大規模なセキュリティ研究プログラムの一環でした。これはAnthropic社が主導する、AIを使った防御的セキュリティ研究の取り組みです。

驚くべきことに、Claude Mythosは1,000のオープンソースプロジェクト(誰でも使える公開されたソフトウェア)を分析し、合計23,019件の脆弱性を発見しました。さらに驚異的なのは、その確認率(本当に問題がある割合)が90.6%に達したことです。

これは何を意味するのでしょうか。人間のセキュリティ専門家がコードを読んで脆弱性を探す作業は、非常に時間とコストがかかります。1つのプロジェクトを徹底的に調査するだけでも、数週間から数ヶ月かかることも珍しくありません。

ところがAIは、人間が1年かかる作業を数日、あるいは数時間で完了できます。しかも、人間が疲れて見落とすような微妙なバグも、機械的な正確さで発見します。Squidbleedのように30年近く誰も気づかなかったバグが見つかったのは、まさにこの能力の証明です。

興味深いのは、政府が「サイバーセキュリティ上の懸念」を理由に先進的なAIモデルへのアクセスを制限していたのに、そのAIこそが人間の専門家が見逃した重大な脆弱性を発見したという皮肉です。AIは攻撃にも防御にも使えるため、その取り扱いには慎重な議論が必要です。

修正方法と対策

幸いなことに、Squidbleedの修正は非常にシンプルです。脆弱性の原因となったコードに、わずか1行の変更を加えるだけで解決します。

修正内容は、strchrを呼び出す前にヌル終端をチェックする条件を追加することです。これにより、ポインタがメモリの範囲外に進むことを防ぎます。公式の修正パッチは2026年4月19日にマスターブランチ(開発の主軸)にマージされ、Squid 7.6(2026年6月8日リリース)以降のバージョンに含まれています。

すぐにできる対策としては、以下の2つがあります。

  • Squidを最新バージョン(7.6以降)にアップデートする:これが最も確実な対策です。
  • FTP機能を無効化する:FTPを使っていない場合は、設定で無効にすることで攻撃経路を完全に塞げます。実際、ChromeブラウザなどはすでにFTP対応を廃止しており、現代のネットワークでFTPが必要なケースはほとんどありません。

多くのセキュリティ専門家は、後者のFTP無効化を推奨しています。どのバージョンのSquidを使っていても、FTPを切ることでこの脆弱性の影響をゼロにできるからです。

まとめ

  • Anthropic社のAI「Claude Mythos」が29年間見過ごされてきた重大な脆弱性「Squidbleed」を発見
  • この脆弱性により、企業や学校のネットワークで他人の認証情報が漏洩する危険があった
  • 1997年のコード修正が原因で、人間の専門家では気づきにくい微妙なバグだった
  • Claude MythosはProject Glasswingで1,000プロジェクトから23,019件の脆弱性を発見(確認率90.6%)
  • AIによる大規模セキュリティ監査が、人間では不可能な規模とスピードで実現できることが証明された
  • 対策としてSquid 7.6以降へのアップデートか、FTP機能の無効化が推奨される
  • AIの防御的利用と攻撃的利用の両面について、今後さらなる議論が必要

今回の発見は、AIがサイバーセキュリティの世界をどう変えるかを示す重要な事例となりました。人間とAIが協力することで、より安全なデジタル社会を築ける可能性が見えてきています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です