Check Point Researchは、AnthropicのAI搭載コーディングツール「Claude Code」に3件の重大なセキュリティ脆弱性を発見した。これらの脆弱性により、開発者がプロジェクトリポジトリを開くだけで、マシンの完全な乗っ取りや認証情報の窃取が可能な状態であった。
1つ目はClaude Codeの「Hooks」機能に関するもので、設定ファイルに仕込まれた悪意あるコマンドがユーザーの同意なく自動実行される。Anthropicはこの欠陥にCVE-2025-59536を割り当てた。2つ目のCVE-2026-21852は、バージョン2.0.65より前のClaude Codeに影響し、悪意あるプロジェクト設定を通じたAPIキーの窃取をユーザー操作なしで可能にするものであった。
Check Point Researchの研究者アヴィヴ・ドネンフェルドとオデッド・ヴァヌヌは2026年2月25日のブログ投稿にて、設定ファイルがアクティブな実行パスを制御する新たな攻撃面になっていると指摘した。Anthropicは全ての脆弱性を修正済みである。
From: 
Flaws in Claude Code Put Developers’ Machines at Risk
【編集部解説】
なお、The Hacker Newsの報道によれば、今回発見された3件の脆弱性のうち、Hooks機能に関する最初の脆弱性にはCVEが割り当てられておらず(CVSSスコア8.7)、CVE-2025-59536(CVSSスコア8.7)はMCP同意バイパスに、CVE-2026-21852(CVSSスコア5.3)はAPIキー窃取にそれぞれ対応しています。
今回の発見で注目すべきは、攻撃の起点が「コード」ではなく「設定ファイル」であったという点です。従来、.jsonや.configといったプロジェクト設定ファイルは、動作の挙動を定義する「受動的なメタデータ」として扱われてきました。コードレビューの際にも、ソースコードほど厳密に精査されることはほとんどありません。しかしAIコーディングツールの登場により、これらの設定ファイルがシェルコマンドの実行やネットワーク通信の制御といった「能動的な実行レイヤー」へと変貌しています。Check Point Researchが指摘したのは、まさにこの構造的な転換がもたらすリスクにほかなりません。
この問題はClaude Codeに限った話ではありません。2025年から2026年にかけて、Cursor、GitHub Copilot、Google Geminiなど主要なAIコーディングツールでも、類似の脆弱性が相次いで報告されています。共通するのは、Model Context Protocol(MCP)と呼ばれるAIモデルと外部ツールを接続する標準プロトコルの周辺に脆弱性が集中している点です。Elastic Security Labsが2025年3月に実施した調査では、公開されているMCPサーバー実装の43%にコマンドインジェクションの欠陥が含まれていたと報告されています。
特に深刻なのは、サプライチェーン攻撃への応用可能性です。悪意ある設定ファイルは、正規のプルリクエストに紛れ込ませることも、有用そうに見せかけたハニーポットリポジトリに仕込むことも可能です。企業の内部リポジトリであれば、たった1つの侵害されたアカウントから開発チーム全体に影響が波及し得ます。さらに今回のAPIキー窃取の脆弱性(CVE-2026-21852)では、AnthropicのWorkspaces機能を通じて、チーム全体の共有ファイルへのアクセス、削除、改ざんにまで被害が拡大する可能性がありました。
一方で、この問題を受けたAnthropicの対応は迅速でした。Check Point Researchとの協力的な開示プロセスを経て、すべての脆弱性は公開前に修正されています。また同社は2026年2月20日に「Claude Code Security」という新機能を発表しており、AIを活用してコードベースの脆弱性を検出し、修正パッチを提案する仕組みを提供し始めています。Anthropicによれば、Claude Opus 4.6を用いた内部テストにおいて、本番環境のオープンソースコードベースから、数十年にわたり検出されなかった500件以上の未知の高重大度脆弱性を発見したとのことです。
開発者にとって重要なのは、AIツールの利便性と引き換えに、新たな信頼境界の管理が求められるようになったという認識です。JetBrainsの2025年10月の調査では、約2万5000人の開発者のうち85%がAIツールを日常的に使用していると回答しています。AIコーディングツールはもはや実験的な存在ではなく、開発パイプラインの中核を担いつつあります。だからこそ、設定ファイルをソースコードと同等の厳格さでレビューする習慣や、信頼できないリポジトリを開く際の警戒が、今後の開発文化として定着していく必要があります。
【用語解説】
CVSSスコア
Common Vulnerability Scoring Systemの略。脆弱性の深刻度を0.0〜10.0の数値で評価する国際的な基準である。スコアが高いほど深刻度が高い。
Hooks
Claude Codeに搭載された機能で、プロジェクトのライフサイクルにおける特定のタイミング(セッション開始時やファイル編集後など)に、コードフォーマットなどの所定のコマンドを自動実行させる仕組みである。
Model Context Protocol(MCP)
AIモデルと外部ツールやデータソースを標準化された方法で接続するためのオープンプロトコル。Anthropicが2024年末に提唱した。「AIのUSB-C」とも呼ばれ、急速に普及が進んでいる。
CVE
Common Vulnerabilities and Exposuresの略。公開されたセキュリティ脆弱性に対して付与される国際的な識別番号体系である。
APIキー
ソフトウェアがAPIサービスにアクセスする際の認証に用いる固有の文字列。漏洩するとサービスの不正利用や課金詐取などの被害につながる。
Workspaces
AnthropicのAPIコンソールに搭載された機能で、複数のAPIキーが同一のクラウド上のプロジェクトファイルを共有できる協業環境である。1つのキーが漏洩するとチーム全体のリソースが危険にさらされる。
【参考リンク】
Anthropic公式サイト(外部)
Claude CodeやClaude Code Securityを開発・提供するAI企業。安全性重視のAIモデル研究開発を行っている。
Claude Code公式ドキュメント(外部)
Claude Codeの使い方、設定方法、Hooks機能やMCP連携の詳細などを記載した公式技術ドキュメント。
Check Point Research(外部)
今回の脆弱性を発見・報告したCheck Point Softwareの脅威インテリジェンス・研究部門の公式サイト。
Claude Code Security(Anthropic公式発表)(外部)
2026年2月20日に発表された、AIを活用したコードベースの脆弱性スキャン・修正提案機能の公式発表ページ。
【参考記事】
Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files(外部)
Check Point Researchによる一次ソース。3件の脆弱性の技術的詳細と修正タイムラインを網羅的に記載。
Claude Code Flaws Allow Remote Code Execution and API Key Exfiltration(外部)
3件の脆弱性のCVSSスコアと各修正バージョン(1.0.87、1.0.111、2.0.65)を明記した報道記事。
Classic Vulnerabilities Meet AI Infrastructure: Why MCP Needs AppSec(外部)
2,614件のMCP実装を分析。82%にパストラバーサル、67%にコードインジェクションのリスクありと報告。
MCP Tools: Attack Vectors and Defense Recommendations for Autonomous Agents(外部)
公開MCP実装の43%にコマンドインジェクション欠陥があったと報告したElastic Security Labsの調査。
As Coders Adopt AI Agents, Security Pitfalls Lurk in 2026(外部)
JetBrains調査で開発者の85%がAIツールを日常使用、認証なしMCPサーバー1,862件の公開を報道。
Claude Code Security and the Future of AI-Driven Cybersecurity(外部)
Claude Opus 4.6が500件以上の未知の脆弱性を発見した事例と今後の市場影響を分析したレポート。
Claude Code Security Causes A SaaS-pocalypse In Cybersecurity(外部)
Claude Code Security発表後のJFrog株価24%下落など、サイバーセキュリティ市場への影響を分析。
【編集部後記】
皆さんが日々使っている開発ツールの「設定ファイル」、コードレビューの際にどこまで目を通しているでしょうか。AIツールが開発の当たり前になりつつある今、私たちが「信頼できるもの」と無意識に思い込んでいるものの中にこそ、新たなリスクが潜んでいるのかもしれません。皆さんの現場での実感や工夫を、ぜひお聞かせください。
