AI開発環境を揺るがす「Claude Code」の深刻な脆弱性
2026年2月25日、サイバーセキュリティの最前線で活動するCheck Point Research(CPR)は、Anthropic社が提供するAI搭載型コーディングアシスタント「Claude Code」に、リモートコード実行(RCE)とAPI認証情報の窃取を可能にする重大な脆弱性が存在することを公表しました。この発見は、AIを活用した開発ワークフローにおける新たな脅威モデルの出現を明確に示しており、企業が直面するサイバーセキュリティリスクの進化を浮き彫りにしています。
CPRの研究者であるAviv Donenfeld氏とOded Vanunu氏が詳細を明らかにしたこの脆弱性は、開発者が信頼できないプロジェクトをクローンし、ツールを開くだけで悪用される可能性がありました。従来のセキュリティ対策では「無害なメタデータ」と見なされがちだったリポジトリベースの設定ファイルが、実際にはアクティブな実行レイヤーとして機能し、攻撃者が任意のシェルコマンドを実行したり、機密性の高いAPIキーを外部に持ち出したりする経路となり得たのです。
この問題は、AIエージェント開発ツールが企業のワークフローに急速に統合される中で、設定と実行の間の信頼境界が曖昧になっている現状を浮き彫りにしました。CPRの調査結果は、AIサプライチェーンにおける脅威モデルが根本的に変化していることを示唆しており、リポジトリ設定ファイルがもはや単なる設定情報ではなく、実行レイヤーの一部として機能するという新たな現実への対応が急務であることを警告しています。
特に、盗まれたAnthropic APIキーは、共有ワークスペースにおいて企業全体に及ぶ甚大なリスクをもたらす可能性がありました。単一のキーが侵害されることで、共有ファイルの公開、変更、削除、さらには不正なAPIコストの発生といった広範な影響が懸念され、AIを活用したコラボレーション環境のセキュリティに対する再評価が不可欠であることが示されました。
設定ファイルが実行レイヤーに:巧妙な攻撃メカニズムの解明
「Claude Code」は、プロジェクトレベルの設定ファイルをリポジリ内に直接埋め込むことで、開発者間のコラボレーションを効率化するように設計されていました。開発者がプロジェクトディレクトリ内で「Claude Code」を開くと、これらの設定ファイルが自動的に適用される仕組みです。しかし、Check Point Researchは、通常は無害な運用メタデータと認識されるこれらのファイルが、実際には能動的な実行レイヤーとして機能し得ることを実証しました。
この攻撃メカニズムの核心は、組み込みの自動化機能が悪用される点にありました。具体的には、Hooks、Model Context Protocol(MCP)統合、および環境変数といった「Claude Code」の内部メカニズムが、信頼制御を迂回するために悪用されたのです。これにより、攻撃者は開発者が信頼できないプロジェクトをクローンして開くだけで、隠れたシェルコマンドを実行し、認証済みのAPIトラフィックをユーザーの同意なしにリダイレクトすることが可能となりました。
攻撃が開始されても、開発者のエンドポイントには目に見える兆候が一切現れないという点が、この脆弱性の特に危険な側面でした。つまり、悪意のあるリポジトリをクローンして開くだけで、開発者のマシン上で隠れたコマンドがトリガーされ、組み込みの同意および信頼保護メカニズムが迂回され、アクティブなAnthropic APIキーが窃取される可能性があったのです。
この脆弱性は、個々のワークステーションから共有された企業クラウドワークスペースへと影響が拡大する可能性を秘めていました。コラボレーションを最適化するために導入された機能が、AIを活用した開発ワークフロー内でサイレントな攻撃ベクトルへと変貌し、企業サプライチェーンに新たな脅威をもたらすことになったのです。AIツールが持つ自動化能力が、従来のセキュリティモデルでは想定されていなかったリスクを生み出すことを明確に示しています。
ユーザーの同意を欺く手口:CVE-2025-59536とコードインジェクション
Check Point Researchが特定した脆弱性の一つは、ユーザーの明示的な同意を迂回して任意のコード実行を可能にするものでした。これは「Claude Hooks」を介したサイレントコマンド実行として具体化され、「Claude Code」がセッション開始時に事前定義されたアクションを実行する自動化機能を悪用するものです。研究者らは、このメカニズムが悪用されることで、ツール初期化時に任意のシェルコマンドが自動的に実行されることを実証しました。つまり、悪意のあるリポジトリを開くだけで、開発者のマシン上で隠れた実行がトリガーされ、プロジェクトを起動する以外の追加操作は一切不要でした。
さらに深刻なのは、Model Context Protocol(MCP)におけるユーザー同意の迂回です。「Claude Code」はMCPを介して外部ツールと統合されており、プロジェクトが開かれた際に追加サービスを初期化できます。本来、警告プロンプトはユーザーの明示的な承認を要求するように設計されていましたが、リポジトリによって制御される設定がこれらの保護機能を上書きできることが判明しました。これにより、ユーザーが同意を与える前、かつ初期化される内容に対する意味のある可視性がないままにコードが実行される事態が発生しました。この問題はCVE-2025-59536(CVSSスコア:8.7)として割り当てられ、2025年10月にバージョン1.0.111で修正されています。
The Hacker Newsの報道によれば、このCVE-2025-59536は、ユーザーが信頼できないディレクトリで「Claude Code」を起動した際に、ツール初期化時に任意のシェルコマンドが自動的に実行されるコードインジェクションの脆弱性として分類されました。特に、`.mcp.json`や`claude/settings.json`ファイルで定義されたリポジトリ設定が、`"enableAllProjectMcpServers"`オプションを`true`に設定することで、外部ツールやサービスとの連携における明示的なユーザー承認を上書きできる点が悪用されたとされています。
また、CVEが割り当てられていないものの、CVSSスコア8.7と評価された別のコードインジェクション脆弱性も存在しました。これは、新しいディレクトリで「Claude Code」を起動する際のユーザー同意迂回に起因し、`.claude/settings.json`で定義された信頼できないプロジェクトフックを介して、追加の確認なしに任意のコード実行を招く可能性がありました。この問題は2025年9月にバージョン1.0.87で修正されており、AI駆動型開発環境における設定ファイルの危険な側面を浮き彫りにしました。
企業全体を脅かすAPIキー窃取:CVE-2026-21852の深刻な影響
今回の調査で明らかになったもう一つの重大な脆弱性は、APIキーの窃取に関するものでした。「Claude Code」はAnthropicのサービスと通信する際にAPIキーを使用し、認証された各リクエストとともにこのキーを送信します。Check Point Researchは、リポジトリによって制御される設定を操作することで、ユーザーがプロジェクトディレクトリへの信頼を確認する前に、認証ヘッダーを含むAPIトラフィック全体を攻撃者制御下のサーバーにリダイレクトできることを実証しました。
これは、悪意のあるリポジトリを開くだけで、開発者のアクティブなAPIキーが外部に持ち出され、認証されたAPIトラフィックが外部インフラにリダイレクトされ、信頼決定が下される前に認証情報が捕捉されることを意味します。この脆弱性はCVE-2026-21852(CVSSスコア:5.3)として割り当てられ、2026年1月にバージョン2.0.65で修正されました。
Anthropic社のアドバイザリによれば、この情報漏洩の脆弱性は「Claude Code」のプロジェクトロードフローに存在し、悪意のあるリポジトリがAnthropic APIキーを含むデータを外部に持ち出すことを可能にしました。具体的には、攻撃者が制御するリポジトリで「Claude Code」が起動され、そのリポジリに`ANTHROPIC_BASE_URL`を攻撃者制御のエンドポイントに設定する設定ファイルが含まれていた場合、信頼プロンプトが表示される前にAPIリクエストが発行され、ユーザーのAPIキーが漏洩する可能性があったとされています。
APIキーの露出が特に重要視されるのは、AnthropicのAPIが「Workspaces」という機能を備えているためです。この機能により、複数のAPIキーがクラウドに保存されたプロジェクトファイルへのアクセスを共有できます。ファイルは単一のキーではなく、ワークスペース自体に関連付けられているため、盗まれたキーを持つ攻撃者は、共有プロジェクトファイルへのアクセス、クラウドに保存されたデータの変更または削除、悪意のあるコンテンツのアップロード、さらには予期せぬAPIコストの発生といった広範な行動が可能になります。コラボレーション型AIエコシステムでは、単一のキーの侵害が、個人の被害からチーム全体、ひいては企業全体に及ぶ影響へと拡大する可能性があるのです。
AIサプライチェーンの新たな脅威モデル:設定ファイルが持つ実行能力
今回明らかになった一連の脆弱性は、ソフトウェアサプライチェーンの運用方法における広範な構造的変化を反映しています。現代の開発プラットフォームは、ワークフローの自動化とコラボレーションの効率化のために、リポジトリベースの設定ファイルへの依存度をますます高めています。従来、これらのファイルは受動的なメタデータとして扱われ、実行ロジックの一部とは見なされていませんでした。しかし、AI搭載ツールがコマンドの実行、外部統合の初期化、ネットワーク通信の自律的な開始能力を獲得するにつれて、設定ファイルは事実上、実行レイヤーの一部と化しています。
かつて運用上のコンテキストと見なされていたものが、今やシステム動作に直接影響を与えるようになったのです。この変化は、脅威モデルを根本的に変質させました。リスクはもはや、信頼できないコードを実行することだけに限定されません。それは、信頼できないプロジェクトを開くことへと拡大しています。AI駆動型開発環境において、サプライチェーンはソースコードだけでなく、それを囲む自動化レイヤーから始まるという新たな現実が突きつけられています。
Check Point Researchは、この新たな脅威モデルへの対応として、セキュリティ制御の更新が不可欠であると強調しています。AI駆動の自動化リスクに対処するためには、設定ファイルが持つ実行能力を認識し、それに応じたセキュリティ対策を講じる必要があります。これは、開発者が利用するツールやプラットフォームの内部構造、特に設定ファイルの処理方法に対する深い理解と、それに基づく厳格なセキュリティポリシーの策定を要求します。
企業は、AI開発ツールをエンタープライズワークフローに迅速に導入する一方で、従来のセキュリティ仮定を再評価し、新たな信頼境界に合わせたセキュリティ制御を進化させる必要があります。設定ファイルがもはや受動的な設定ではなく、実行、ネットワーキング、および権限に影響を与える可能性があるという認識は、AI統合が深まるにつれて、サイバーセキュリティ戦略の中心的な要素となるでしょう。
迅速な開示と修正:AnthropicとCheck Pointの協調対応
Check Point Researchは、これらの重大な脆弱性を発見した後、Anthropic社と緊密に連携し、責任ある開示プロセスを進めました。両社は協力し、脆弱性の詳細な分析から修正プログラムの開発、そしてその適用に至るまで、迅速かつ効果的な対応を行いました。このようなセキュリティ研究者とベンダー間の協調は、サイバーセキュリティコミュニティ全体にとって極めて重要であり、ユーザーの安全を確保するための最善のアプローチとされています。
Anthropic社は、Check Point Researchからの報告を受けて、速やかに必要な修正を実装しました。具体的には、ユーザーの信頼プロンプトを強化し、明示的な承認が得られるまで外部ツールの実行を防止する措置を講じました。また、信頼確認が完了するまでAPI通信をブロックする機能も導入され、APIキー窃取のリスクを大幅に軽減しました。これらの修正は、公に開示される前にすべて完了しており、ユーザーは修正済みのバージョンを利用できるようになっています。
この迅速な対応は、AI技術が急速に進化し、その利用が拡大する中で、セキュリティ対策も同様に進化し続ける必要があるという認識に基づいています。AIを活用したコーディングツールは、開発者の生産性を大幅に向上させる一方で、従来のセキュリティモデルでは想定されていなかった新たな攻撃経路を生み出す可能性があります。今回の事例は、そうした新たなリスクに対して、業界全体がどのように協力して対処すべきかを示す模範的なケースと言えるでしょう。
AnthropicとCheck Point Researchの協調的な取り組みは、AI開発環境におけるセキュリティの重要性を再認識させるとともに、将来的な脅威に対する防御策を講じる上での教訓を提供します。企業は、AIツール導入のメリットを享受しつつも、その潜在的なリスクを常に評価し、進化する脅威モデルに対応するためのセキュリティ戦略を継続的に更新していく責任があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Check Point Researchers Expose Critical Claude Code Flaws - https://blog.checkpoint.com/research/check-point-researchers-expose-critical-claude-code-flaws/
- -Claude Code Flaws Allow Remote Code Execution and API Key Exfiltration - https://thehackernews.com/2026/02/claude-code-flaws-allow-remote-code.html