Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ：セキュリティニュースアラート

Check PointはClaude Codeに重大な脆弱性があり、不正なリポジトリー設定を開くだけで遠隔コード実行やAPIキー窃取が可能だったと公表した。修正は完了しているが、AI開発基盤の供給網に新たなリスクが浮上している。

[ITmedia エンタープライズ編集部]

　Check Point Software Technologiesは2026年2月25日（現地時間）、AI開発支援ツール「Claude Code」に重大な脆弱（ぜいじゃく）性が存在したと発表した。

　Anthropicが提供する同ツールにおいて、悪意あるリポジトリー設定ファイルを読み込むだけで遠隔コード実行やAPIキーの窃取が可能となる問題が確認されたという。

「開くだけで危ない」Claude Codeの脆弱性　リポジトリー設定が攻撃経路に

　Claude Codeはリポジトリー内のプロジェクト設定を自動適用する設計となっているが、本来は運用補助情報にすぎない設定ファイルが実行経路として機能し、攻撃の起点となり得ることが判明した。

　調査では3つのリスクが示された。まず「Hooks」機能の悪用だ。セッション開始時に自動実行される仕組みを利用し、任意のシェルコマンドを利用者端末でひそかに走らせることが可能だった。利用者が特別な操作をしなくても、プロジェクトを開いた時点で処理が開始される。

　次にModel Context Protocol（MCP）連携における同意手続きの回避だ。本来は外部ツール初期化時に警告表示と承認が求められるが、リポジトリー側の設定によって保護機構が上書きされ、承認前に処理が進行する事例が確認された。この脆弱性はCVE-2025-59536が割り当てられている。

　APIキーの流出も確認された。Claude CodeはAnthropicのサービスと通信する際、APIキーを付与する。設定を書き換えることで認証ヘッダを攻撃者管理サーバに転送できることが示された。

　信頼確認前にキーが外部送信される可能性があり、CVE-2026-21852として登録された。APIキーの流出による影響は個人端末だけでなく、AnthropicのAPIはWorkspaces機能を備え、複数キーでクラウドのプロジェクト資産を共有できる。そのためキーが奪取されれば、共有ファイルの閲覧や改変、削除、不正コンテンツの追加、想定外の利用料金発生などにつながる恐れがある。

　今回の事例は、AI活用型開発環境における供給網リスクの変化を示す。従来はソースコードの安全性が主な焦点だったが、現在は自動化を担う設定層も実行機能を帯びている。結果として、不審なコードを実行する場合だけでなく、不審なプロジェクトを開く行為自体が攻撃面となる構図が浮き彫りになった。

　両社は公開前に連携し、警告表示の強化、承認前の外部実行遮断、信頼確認完了までのAPI通信停止などの対策を実装した。報告された問題は修正済みとしている。企業でのAI開発支援ツール導入が進む中、生産性向上と同時に信頼境界の再定義が求められている。設定ファイルは単なる補助情報ではなく、実行や通信、権限管理に影響を与える要素となりつつあり、従来型の安全対策では不十分となる可能性がある。