Claude Codeに深刻な脆弱性が発覚 ― リモートコード実行とAPIキー窃取の危険性

雑記

Anthropic社のAIコーディングアシスタント「Claude Code」に、リモートコード実行(RCE)やAPIキーの窃取につながる複数の深刻なセキュリティ脆弱性が発見された。セキュリティ企業Check Point Researchの研究者が発見・報告したもので、Hooks、MCPサーバー、環境変数といった設定メカニズムが悪用される可能性がある。すでにAnthropicは修正パッチをリリースしており、最新版への更新が推奨される。

この記事のポイント

  • Claude Codeに3件の脆弱性が発見され、いずれもCVSSスコアが高い深刻なもの
  • 悪意あるリポジトリを開くだけで攻撃が成立する可能性がある
  • Anthropicは全件修正済みだが、AI開発ツール特有の新たな脅威モデルが浮き彫りに

脆弱性1:ユーザー同意バイパス(CVSS 8.7)

最初の脆弱性は、.claude/settings.json内の信頼されていないプロジェクトフック(Hooks)を通じて任意のコード実行を可能にするものだ。本来、Claude Codeはフックの実行前にユーザーの同意を求める設計だが、この脆弱性によりその保護機構がバイパスされる。攻撃者が悪意あるフック設定を含むリポジトリを作成し、開発者がそのリポジトリをクローンしてClaude Codeで開くだけで、任意のシェルコマンドが実行される危険がある。CVE番号は当初未割り当てだったが、2025年9月にバージョン1.0.87で修正された。

脆弱性2:コードインジェクション(CVE-2025-59536, CVSS 8.7)

2件目は、信頼されていないディレクトリでClaude Codeを起動した際に自動的にシェルコマンドが実行される、コードインジェクションの脆弱性だ。.mcp.jsonclaude/settings.jsonの設定ファイルを悪用して攻撃が行われる。MCPサーバーの設定にコマンドインジェクションのペイロードを埋め込むことで、Claude Codeの起動と同時に悪意あるコードが実行される。この脆弱性は2025年10月にバージョン1.0.111で修正された。MCPサーバーは外部ツールとの連携に使われる仕組みだが、その設定ファイル自体が攻撃ベクトルとなり得ることが示された。

脆弱性3:APIキー窃取(CVE-2026-21852, CVSS 5.3)

3件目は情報漏洩の脆弱性で、プロジェクト読み込み時に発生する。悪意あるリポジトリがANTHROPIC_BASE_URL環境変数を攻撃者のインフラにリダイレクトするよう設定することで、Anthropic APIキーの窃取が可能となる。APIリクエストが攻撃者のサーバーに転送されるため、APIキーだけでなくAIとのやり取り内容も傍受される危険がある。この脆弱性は2026年1月にバージョン2.0.65で修正された。CVSSスコアは5.3と他の2件より低いが、APIキーの窃取はAIインフラへの不正アクセスにつながる可能性があり、影響は深刻だ。

攻撃シナリオと影響範囲

これらの脆弱性に共通するのは、悪意あるリポジトリを開くだけで攻撃が成立するという点だ。開発者がGitHubなどからリポジトリをクローンし、Claude Codeで作業を開始するという日常的な操作が攻撃トリガーとなる。攻撃が成功した場合、以下のような被害が想定される。

  • 任意のコマンド実行による開発環境の完全掌握
  • Anthropic APIキーの窃取と不正利用
  • AIとの通信内容の傍受(ソースコードや機密情報の漏洩)
  • サプライチェーン攻撃への発展(汚染されたコードの配布)

AI開発ツールの新たな脅威モデル

Check Point Researchは、今回の脆弱性が示す重要な教訓として「設定ファイルが事実上の実行レイヤーになっている」ことを指摘している。従来のソフトウェア開発では、設定ファイルは単なるパラメータの定義に過ぎなかったが、AI開発環境ではHooksやMCPサーバーの設定が直接コマンド実行につながる。これは、従来のコード実行の脅威を超え、オートメーションレイヤーの脆弱性という新たなカテゴリの脅威を生み出している。

知っておくと便利なTips

  • Claude Codeを常に最新バージョンに更新し、既知の脆弱性に対するパッチを適用する
  • 信頼できないリポジトリをクローンする際は、.claude/ディレクトリや.mcp.jsonファイルの内容を事前に確認する
  • ANTHROPIC_BASE_URLなどの環境変数がプロジェクト設定で上書きされていないか注意する
  • Hooks機能を使用する場合は、フックの内容を必ずレビューしてから実行を許可する

まとめ

今回発見された3件の脆弱性は、いずれもAnthropicによって修正済みだが、AI搭載の開発ツールが持つ固有のセキュリティリスクを浮き彫りにした。特に、設定ファイルが実行レイヤーとして機能するAI開発環境では、従来のセキュリティ対策だけでは不十分であることが示された。開発者は最新版への更新を速やかに行うとともに、信頼できないリポジトリを開く際には設定ファイルの内容を確認する習慣をつけることが重要だ。AIコーディングツールの普及に伴い、こうしたサプライチェーン的な攻撃ベクトルは今後さらに注目されるだろう。

📎 元記事: https://thehackernews.com/2026/02/claude-code-flaws-allow-remote-code.html

コメント

タイトルとURLをコピーしました