會原 
ただの設定ファイルがAPIキー窃取の突破口に
Anthropicが開発するAIコーディングツール「Claude Code」に、リモートコード実行(RCE)やAPIキー流出につながる深刻な脆弱性が見つかりました。セキュリティ企業Check Point Researchが2026年2月25日に調査結果を公開しています。脆弱性はいずれもAnthropicが修正済みだといいます。
今回明らかになった問題は大きく3件です。Claude Codeはプロジェクト単位の設定ファイル「.claude/settings.json」をリポジトリ内に置ける仕組みを採用しており、クローンしたプロジェクトでClaude Codeを起動するとその設定を読み込みます。攻撃者がこの仕組みを悪用して悪意ある設定をリポジトリに仕込めば、開発者が不審なプロジェクトでClaude Codeを起動した際に端末上で意図しない動作を引き起こせる恐れがありました。
1つ目の問題はClaude Codeの「Hooks」機能に関わります。Hooksはツールのライフサイクルに応じてシェルコマンドを実行する仕組みで、.claude/settings.jsonで定義するものです。初回起動時に「このフォルダを信頼しますか?」といった警告は表示されるものの、「Yes, proceed」を選んだあと追加の確認なくフォルダ内の処理が動き得る点が十分に伝わらなかったのだとか。悪意あるHooksを仕込んだリポジトリでClaude Codeを起動すれば、実行許可プロンプトなしにコマンドが走る恐れがありました。この件はGitHub Security Advisory(GHSA-ph6w-f82w-28w6)として追跡されており、v1.0.87で修正済みです。
2つ目の問題はMCP(Model Context Protocol)サーバーに関わるもので、CVE-2025-59536(CVSS 8.7)として識別されています。設定ファイルで「enableAllProjectMcpServers」や「enabledMcpjsonServers」を指定すると、ユーザーが信頼ダイアログを確認する前にMCP関連の初期化コマンドが動き得たといいます。いわゆる「ユーザー同意バイパス」にあたる問題で、Anthropicがv1.0.111で修正済みだそうです。
CVSSとは「Common Vulnerability Scoring System」の略で、脆弱性の深刻さを0〜10の数値で示す世界共通のものさしです。数字が大きいほど危険度が高く、今回出てくる8.7は「かなり深刻」、5.3は「中程度」にあたります。セキュリティ関連のニュースでよく登場するので、覚えておくと記事が読みやすくなるはずです。
3つ目の問題はAPIキーの流出に関するもので、CVE-2026-21852(CVSS 5.3)として識別されています。攻撃者がリポジトリの設定ファイルで環境変数「ANTHROPIC_BASE_URL」を自身の管理するエンドポイントに向けると、ユーザーが信頼プロンプトを確定する前にAPIリクエストが飛び、Authorizationヘッダーに含まれるAPIキーが攻撃者側へ渡り得る状態でした。盗んだAPIキーで不正利用(想定外の課金)ができるだけでなく、Workspace機能を通じてチームの共有リソースに影響が及ぶ恐れもあるとのことです。Anthropicはv2.0.65で対処済みだそうです。
Check Point Researchによると、1つ目の問題は2025年7月21日にAnthropicへ報告し、Anthropicが修正のうえアドバイザリ(GHSA)を公開したといいます。2つ目(CVE-2025-59536)は2025年9月3日の報告後、9月中にAnthropicが修正し、10月3日にCVEが公開されました。3つ目(CVE-2026-21852)は2025年10月28日の報告後、2025年12月に修正が入り、2026年1月21日にCVEが公開されたとのことです。いずれもCheck Pointが調査結果を公表した2026年2月25日より前に対処が済んでいたことになります。
設定ファイルが実行レイヤーの一部として機能する以上、「信頼できないコードを実行しない」だけでなく「信頼できないプロジェクトを不用意に開かない」意識も重要になります。
Claude Codeを利用中の開発者は最新バージョンへの更新を済ませたうえで、必要に応じてAPIキーやトークンの再発行、利用状況の確認を進めておくのが無難でしょう。
