AI搭載のコーディングアシスタントClaude Codeに発見された脆弱性により、悪意あるリポジトリ設定ファイルを通じたリモートコード実行とAPI認証情報の窃取が可能に
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、米国Anthropic社のAI搭載コーディングアシスタントツールであるClaude Codeに存在した重大な脆弱性がもたらすリスクに関する調査結果を公表しました。この調査を通じて、脆弱性「CVE-2025-59536」および「CVE-2026-21852」により悪意あるリポジトリ設定ファイルを介したリモートコード実行およびAPIキーの窃取が可能になり、企業全体にリスクがもたらされることが明らかになっています。
概要
- Anthropicの「Claude Code」に存在した重大な脆弱性「CVE-2025-59536」および「CVE-2026-21852」により、悪意あるリポジトリ設定ファイルを介したリモートコード実行およびAPIキーの窃取が可能となっていました。この攻撃は、信頼されていないプロジェクトをクローンして開くだけで発動することが確認されました。
- Hooks、MCP(Model Context Protocol)統合、環境変数といった組み込み機能が悪用され、信頼制御の回避、隠しシェルコマンドの実行、認証済みAPIトラフィックのリダイレクトがユーザーの同意を経ずに行われる可能性がありました。
- 窃取されたAnthropic APIキーは企業全体にわたるリスクをもたらします。共有ワークスペース環境では、1つのキーが漏えいするだけで、共有ファイルやリソースの閲覧・変更・削除、および不正な費用発生につながりかねません。
- CPRによる本調査結果は、AIサプライチェーンの脅威モデルにおけるより広範な変化を示しています。リポジトリの設定ファイルは今や実行レイヤーの一部として機能しており、AI駆動による自動化リスクに対応するためには、最新のセキュリティ制御を利用することが必要です。
企業がエージェント型AI開発ツールを業務フローに急速に取り込む中、設定と実行の間の信頼境界は曖昧さを増しています。CPRは、AnthropicのClaude Codeに存在する重大な脆弱性を発見しました。この脆弱性により、悪意あるリポジトリ設定ファイルを通じ、リモートコード実行とAPI認証情報の窃取が可能となります。Hooks、MCP統合、環境変数といった組み込み機能を悪用することで、任意のシェルコマンドの実行とAPIキーの窃取が行われる可能性がありました。
リポジトリファイルが攻撃ベクトルになる仕組み
Claude Codeは、プロジェクトレベルの設定ファイルをリポジトリ内に直接埋め込むことでコラボレーションの無駄をなくすよう設計されており、開発者が該当するプロジェクトディレクトリ内でClaude Codeを開いた際に自動的に適用される仕様となっています。CPRの発見は、こうしたファイルが一般に無害な運用メタデータと見なされているにもかかわらず、実際には能動的な実行レイヤーとして機能しうることを明らかにしました。特定の条件下では、悪意あるリポジトリをクローンして開くだけで、以下のことが起きる可能性がありました。
- 開発者のエンドポイントにおける隠しコマンドの実行
- 同意・信頼に関する組み込み機能の回避
- 有効なAnthropic APIキーの露出とアクセス手段としての悪用
- 個人の端末だけでなく企業のクラウド共有ワークスペースまで影響が波及するリスク
これらすべてが、侵害がすでに始まっているという兆候を示すことなく進行します。コラボレーションの効率化を目的として設計されたツールが、AI駆動の開発ワークフロー内で密かに攻撃ベクトルとなっていたのです。
開発者への影響:3つのリスクカテゴリ
1. Claude Hooksによる密かなコマンド実行
Claude Codeには、セッション開始時に事前定義されたアクションを実行する自動化機能が備わっています。CPRは、この機能の悪用により、ツールの初期化時に任意のシェルコマンドが自動実行される可能性があることを実証しました。
実際には、悪意あるリポジトリを開くだけで、開発者のマシン上で密かにコマンドが実行される引き金になる可能性がありました。この際、プロジェクトを起動する以外の操作は一切必要ありません。
2. MCPユーザー同意の回避
Claude CodeはMCPを通じて外部ツールと統合されており、プロジェクトを開いた際に追加サービスが初期化されます。CPRの調査では、この初期化の際にユーザーの明示的な承認を求めるよう警告プロンプトが設計されていたにもかかわらず、リポジトリ側の設定によって保護機能の上書きが可能であることが判明しました。その結果、以下のような状況が生じる可能性があります。
- ユーザーによる同意がないまま実行が開始
- 実行にあたり、初期化の対象に関する十分な可視性が提供されない
- こうした動作を防ぐ目的で信頼プロンプトが組み込まれているにもかかわらず実行される
信頼確立前にコードが実行された場合、制御モデルが逆転し、権限がユーザーからリポジトリ定義による設定へと移行します。これにより、AI駆動による攻撃対象領域が拡大します。この問題に関連する脆弱性は「CVE-2025-59536」です。
3. 信頼確立に先立つAPIキーの窃取
Claude Codeはそれぞれの認証済みリクエストとともに送信されるAPIキーを使い、Anthropicのサービスと通信しています。CPRは、リポジトリ側の設定を操作することで、ユーザーがプロジェクトディレクトリの信頼を確認する前に、認証ヘッダー全体を含むAPIトラフィックを攻撃者の管理するサーバーへリダイレクトできることを実証しました。これは、悪意あるリポジトリを開くだけで以下の事態が発生する可能性があることを意味しています。
- 開発者に紐づく有効なAPIキーの外部流出
- 認証済みAPIトラフィックの外部インフラへの誘導
- 信頼に関する判断がくだされる前段階での認証情報の取得
コラボレーション型のAI環境では、APIキーひとつの漏えいが、企業全体に及ぶ侵害への入口となる可能性があります。この問題に関連する脆弱性は「CVE-2026-21852」です。
APIキーの漏えいはなぜ重大なのか
AnthropicのAPIは「Workspaces」と呼ばれる機能を備えており、クラウドに保存されたプロジェクトファイルへのアクセスを複数のAPIキーが共有できる仕組みになっています。
- 共有されたプロジェクトファイルへのアクセス
- クラウド保存データの改ざんまたは削除
- 悪意あるコンテンツのアップロード
- 想定外のAPIコストの発生
コラボレーション型のAIエコシステムでは、APIキーひとつの漏えいによって、個人に対する侵害からチーム全体に及ぶ影響の拡大がもたらされる可能性があります。
AIツールにおける新たなサプライチェーンリスク
本調査を通じて明らかになった脆弱性は、ソフトウェアサプライチェーンの運用方法における、より広範な構造的変化を反映しています。現代の開発プラットフォームは、ワークフローの自動化とコラボレーションの効率化のために、リポジトリベースの設定ファイルへの依存を強めています。従来、これらのファイルは受動的なメタデータとして扱われ、実行ロジックではなく運用上の設定情報として位置付けられていました。
しかし、AI搭載ツールがコマンドの実行、外部統合の初期化、ネットワーク通信の開始を自律的に行えるようになった今、設定ファイルは事実上、実行レイヤーの一部となっています。かつては運用上のコンテキストと見なされていたものが、今やシステムの動作に直接影響を与えます。
これは脅威モデルに関する根本的な変化を意味します。リスクの範囲は、もはや信頼されていないコードの実行にとどまらず、信頼されていないプロジェクトを開くこと自体にまで及ぶようになりました。AI駆動の開発環境では、サプライチェーンはソースコードに限らず、それを取り巻く自動化レイヤーも起点となります。
修正対応と情報開示
CPRは、本件に関する情報開示プロセス全体を通じてAnthropicと緊密に連携し、Anthropicは以下の修正を実施しました。
- ユーザーへの信頼確認プロンプトの強化
- 明示的な承認に先立つ外部ツール実行の防止
- 信頼確認完了前のAPI通信をブロック
本調査結果の重要性
AI搭載のコーディングツールは、企業の開発ワークフローに急速に組み込まれています。
本プレスリリースは、米国時間2026年2月25日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp企業プレスリリース詳細へ : https://prtimes.jp/main/html/rd/p/000000493.000021207.htmlPR TIMESトップへ : https://prtimes.jp
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、米国Anthropic社のAI搭載コーディングアシスタントツールであるClaude Codeに存在した重大な脆弱性がもたらすリスクに関する調査結果を公表しました。この調査を通じて、脆弱性「CVE-2025-59536」および「CVE-2026-21852」により悪意あるリポジトリ設定ファイルを介したリモートコード実行およびAPIキーの窃取が可能になり、企業全体にリスクがもたらされることが明らかになっています。
チェック・ポイントはAnthropicに本調査結果を提供し、修正が実施されました。
概要
- Anthropicの「Claude Code」に存在した重大な脆弱性「CVE-2025-59536」および「CVE-2026-21852」により、悪意あるリポジトリ設定ファイルを介したリモートコード実行およびAPIキーの窃取が可能となっていました。この攻撃は、信頼されていないプロジェクトをクローンして開くだけで発動することが確認されました。
- Hooks、MCP(Model Context Protocol)統合、環境変数といった組み込み機能が悪用され、信頼制御の回避、隠しシェルコマンドの実行、認証済みAPIトラフィックのリダイレクトがユーザーの同意を経ずに行われる可能性がありました。
- 窃取されたAnthropic APIキーは企業全体にわたるリスクをもたらします。共有ワークスペース環境では、1つのキーが漏えいするだけで、共有ファイルやリソースの閲覧・変更・削除、および不正な費用発生につながりかねません。
- CPRによる本調査結果は、AIサプライチェーンの脅威モデルにおけるより広範な変化を示しています。リポジトリの設定ファイルは今や実行レイヤーの一部として機能しており、AI駆動による自動化リスクに対応するためには、最新のセキュリティ制御を利用することが必要です。
企業がエージェント型AI開発ツールを業務フローに急速に取り込む中、設定と実行の間の信頼境界は曖昧さを増しています。CPRは、AnthropicのClaude Codeに存在する重大な脆弱性を発見しました。この脆弱性により、悪意あるリポジトリ設定ファイルを通じ、リモートコード実行とAPI認証情報の窃取が可能となります。Hooks、MCP統合、環境変数といった組み込み機能を悪用することで、任意のシェルコマンドの実行とAPIキーの窃取が行われる可能性がありました。
このリスクの引き金となるのは、開発者が信頼されていないプロジェクトをクローンして開くという行動だけで、ツールの起動以外の追加操作は必要ありません。コラボレーションの効率化を本来の目的とした設定ファイルが、事実上の実行経路となり、今や企業のサプライチェーンに組み込まれているAI開発レイヤー内に新たな攻撃経路をもたらしています。この事実は、企業の脅威モデルもまた、この新たな現実に合わせて進化する必要があることを浮き彫りにしています。
リポジトリファイルが攻撃ベクトルになる仕組み
Claude Codeは、プロジェクトレベルの設定ファイルをリポジトリ内に直接埋め込むことでコラボレーションの無駄をなくすよう設計されており、開発者が該当するプロジェクトディレクトリ内でClaude Codeを開いた際に自動的に適用される仕様となっています。CPRの発見は、こうしたファイルが一般に無害な運用メタデータと見なされているにもかかわらず、実際には能動的な実行レイヤーとして機能しうることを明らかにしました。特定の条件下では、悪意あるリポジトリをクローンして開くだけで、以下のことが起きる可能性がありました。
- 開発者のエンドポイントにおける隠しコマンドの実行
- 同意・信頼に関する組み込み機能の回避
- 有効なAnthropic APIキーの露出とアクセス手段としての悪用
- 個人の端末だけでなく企業のクラウド共有ワークスペースまで影響が波及するリスク
これらすべてが、侵害がすでに始まっているという兆候を示すことなく進行します。コラボレーションの効率化を目的として設計されたツールが、AI駆動の開発ワークフロー内で密かに攻撃ベクトルとなっていたのです。
開発者への影響:3つのリスクカテゴリ
1. Claude Hooksによる密かなコマンド実行
Claude Codeには、セッション開始時に事前定義されたアクションを実行する自動化機能が備わっています。CPRは、この機能の悪用により、ツールの初期化時に任意のシェルコマンドが自動実行される可能性があることを実証しました。
実際には、悪意あるリポジトリを開くだけで、開発者のマシン上で密かにコマンドが実行される引き金になる可能性がありました。この際、プロジェクトを起動する以外の操作は一切必要ありません。
2. MCPユーザー同意の回避
Claude CodeはMCPを通じて外部ツールと統合されており、プロジェクトを開いた際に追加サービスが初期化されます。CPRの調査では、この初期化の際にユーザーの明示的な承認を求めるよう警告プロンプトが設計されていたにもかかわらず、リポジトリ側の設定によって保護機能の上書きが可能であることが判明しました。その結果、以下のような状況が生じる可能性があります。
- ユーザーによる同意がないまま実行が開始
- 実行にあたり、初期化の対象に関する十分な可視性が提供されない
- こうした動作を防ぐ目的で信頼プロンプトが組み込まれているにもかかわらず実行される
信頼確立前にコードが実行された場合、制御モデルが逆転し、権限がユーザーからリポジトリ定義による設定へと移行します。これにより、AI駆動による攻撃対象領域が拡大します。この問題に関連する脆弱性は「CVE-2025-59536」です。
3. 信頼確立に先立つAPIキーの窃取
Claude Codeはそれぞれの認証済みリクエストとともに送信されるAPIキーを使い、Anthropicのサービスと通信しています。CPRは、リポジトリ側の設定を操作することで、ユーザーがプロジェクトディレクトリの信頼を確認する前に、認証ヘッダー全体を含むAPIトラフィックを攻撃者の管理するサーバーへリダイレクトできることを実証しました。これは、悪意あるリポジトリを開くだけで以下の事態が発生する可能性があることを意味しています。
- 開発者に紐づく有効なAPIキーの外部流出
- 認証済みAPIトラフィックの外部インフラへの誘導
- 信頼に関する判断がくだされる前段階での認証情報の取得
コラボレーション型のAI環境では、APIキーひとつの漏えいが、企業全体に及ぶ侵害への入口となる可能性があります。この問題に関連する脆弱性は「CVE-2026-21852」です。
APIキーの漏えいはなぜ重大なのか
AnthropicのAPIは「Workspaces」と呼ばれる機能を備えており、クラウドに保存されたプロジェクトファイルへのアクセスを複数のAPIキーが共有できる仕組みになっています。
ファイルは特定のキーではなくワークスペース自体に紐付けられているため、窃取されたキーを使うことで、攻撃者は以下を行える可能性があります。
- 共有されたプロジェクトファイルへのアクセス
- クラウド保存データの改ざんまたは削除
- 悪意あるコンテンツのアップロード
- 想定外のAPIコストの発生
コラボレーション型のAIエコシステムでは、APIキーひとつの漏えいによって、個人に対する侵害からチーム全体に及ぶ影響の拡大がもたらされる可能性があります。
AIツールにおける新たなサプライチェーンリスク
本調査を通じて明らかになった脆弱性は、ソフトウェアサプライチェーンの運用方法における、より広範な構造的変化を反映しています。現代の開発プラットフォームは、ワークフローの自動化とコラボレーションの効率化のために、リポジトリベースの設定ファイルへの依存を強めています。従来、これらのファイルは受動的なメタデータとして扱われ、実行ロジックではなく運用上の設定情報として位置付けられていました。
しかし、AI搭載ツールがコマンドの実行、外部統合の初期化、ネットワーク通信の開始を自律的に行えるようになった今、設定ファイルは事実上、実行レイヤーの一部となっています。かつては運用上のコンテキストと見なされていたものが、今やシステムの動作に直接影響を与えます。
これは脅威モデルに関する根本的な変化を意味します。リスクの範囲は、もはや信頼されていないコードの実行にとどまらず、信頼されていないプロジェクトを開くこと自体にまで及ぶようになりました。AI駆動の開発環境では、サプライチェーンはソースコードに限らず、それを取り巻く自動化レイヤーも起点となります。
修正対応と情報開示
CPRは、本件に関する情報開示プロセス全体を通じてAnthropicと緊密に連携し、Anthropicは以下の修正を実施しました。
- ユーザーへの信頼確認プロンプトの強化
- 明示的な承認に先立つ外部ツール実行の防止
- 信頼確認完了前のAPI通信をブロック
本調査結果の重要性
AI搭載のコーディングツールは、企業の開発ワークフローに急速に組み込まれています。
それにより大きく生産性が向上するメリットとともに、従来のセキュリティ前提を見直す必要性もまた高まっています。設定ファイルはもはや受動的な設定情報ではなく、実行、ネットワーク通信、権限に影響を与えうるものとなっています。AIの業務への統合が進む中、セキュリティ対策もまた、新たな信頼境界に合わせて進化し続けることが極めて重要です。
本プレスリリースは、米国時間2026年2月25日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。
将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp企業プレスリリース詳細へ : https://prtimes.jp/main/html/rd/p/000000493.000021207.htmlPR TIMESトップへ : https://prtimes.jp
編集部おすすめ
