Claude Codeの重大な脆弱性を分析 開発者への3つの影響とは？：セキュリティニュースアラート

Check PointはClaude Codeに見つかった脆弱性の詳細な分析を報告した。悪意ある設定ファイルによって遠隔コード実行やAPIキー流出の恐れがある。同社は不審なプロジェクトを開くだけで攻撃が始まる恐れがあると警告している。

[ITmedia エンタープライズ編集部，ITmedia]

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、Check Point）は2026年3月3日、同社の脅威インテリジェンス部門「Check Point Research」（CPR）が、AnthropicのAIコーディングアシスタント「Claude Code」に存在した重大な脆弱（ぜいじゃく）性に関する調査結果を公表したと発表した。

　悪意のあるリポジトリー設定ファイルを通じて、遠隔でのコード実行やAPI認証情報の窃取が可能になる恐れがあるという。対象となる脆弱性は「CVE-2025-59536」と「CVE-2026-21852」。同社は調査結果をAnthropicに提供し、既に修正されたとしている。

Claude Codeに見つかった重大な脆弱性　開発者への3つの影響を深堀

　CPRによると、この問題ではリポジトリー内に含まれる設定ファイルが攻撃の入口となったという。開発者が信頼されていないプロジェクトをクローンし、「Claude Code」で開くだけで、隠れたコマンドが開発者の端末で実行される可能性があった。追加の操作は不要で、ツール起動のみで攻撃が成立する場合があるという。

　同脆弱性は、Claude Codeに備わる自動化機能や外部ツール連携機能が悪用される。具体的にセッション開始時に処理を実行する「Hooks」、外部サービス連携の仕組みである「Model Context Protocol」（MCP）、環境変数などが組み合わされることで、信頼確認の仕組みを回避し、任意のシェルコマンドを実行する可能性がある。

　CPRは開発者への影響を3つの観点で整理している。1つ目はHooks機能を悪用した隠れたコマンド実行だ。攻撃者が仕込んだ設定により、開発者がプロジェクトを開いた瞬間に端末でコマンドが実行される可能性がある。2つ目はMCP連携時のユーザー同意プロセスの回避だ。本来は外部ツール初期化時に警告が表示されるが、リポジトリー側の設定によって保護機能が上書きされ、ユーザーの承認なしで処理が開始される可能性があった。

　3つ目はAPIキーの流出だ。Claude CodeはAnthropicのサービスと通信する際、認証済みAPIキーを利用する。CPRはリポジトリー設定を操作することで、API通信を攻撃者のサーバに転送し、認証ヘッダを含む通信内容を取得できる可能性を実証した。ユーザーがプロジェクトを信頼するかどうか判断する前の段階で認証情報が取得される恐れがあるという。

　APIキーの漏えいは特に深刻な影響をもたらす可能性がある。AnthropicのAPIには「Workspaces」と呼ばれる共有環境があり、複数のAPIキーで同じクラウドプロジェクトにアクセスできる。キーが流出した場合、攻撃者は共有ファイルの閲覧、改ざん、削除ができる他、悪意あるデータの追加や不正なAPI利用による費用発生を引き起こす可能性がある。

　CPRは今回の事例について、AI開発ツールを取り巻くサプライチェーンリスクの拡大を示すものと分析する。近年の開発環境において、リポジトリー内の設定ファイルがワークフロー自動化や外部サービス連携の起点となるケースが増えている。従来は単なる運用設定と見なされていたこれらのファイルが、現在ではコマンド実行や通信処理に関与する仕組みとして機能する場合がある。

　信頼されていないコードの実行だけでなく、不審なプロジェクトを開く行為そのものが新たなリスク要因になると同社は指摘する。AIが組み込まれた開発環境において、ソースコードだけでなく自動化機能や設定ファイルも含めた広範な領域を想定したセキュリティ対策が求められるとしている。

　AnthropicはCPRからの報告を受け、複数の対策を実施した。ユーザーの信頼確認プロンプトの強化、承認前の外部ツール実行の制限、信頼確認が完了するまでのAPI通信の遮断などが含まれる。

　Check Pointは、AI搭載コーディングツールの導入が進む中で、企業は新しい脅威モデルに対応する必要があると指摘する。設定ファイルや自動化レイヤーを含めたサプライチェーン全体を対象としたセキュリティ管理が、今後の開発環境では不可欠になると強調している。