Claude Codeの深刻な脆弱性がハッカーに悪用され、暗号化されたユーザーが攻撃対象に

AnthropicのClaude Codeに深刻な権限昇格およびコマンド実行の脆弱性が発見されました。攻撃者はユーザーの許可なしに任意のコマンドを実行できる可能性があります。さらに懸念すべきは、この脆弱性がハッカーによって暗号化されたユーザーを攻撃するために悪用されていることです。最新の情報によると、慢雾チームのセキュリティ研究者23pdsは、研究員Adam Chesterのレポートをリツイートし、脆弱性番号はCVE-2025-64755、関連するPoCは公開済みです。

脆弱性の核心的脅威

これは何ですか

Claude Codeのこの脆弱性により、攻撃者は権限昇格とコマンド実行を実現できます。重要なのは、攻撃者がユーザーの許可を得ることなくこれを行える点です。つまり、疑わしいリンクをクリックしたりコマンドを入力したりしなくても、巧妙に設計された方法でこの脆弱性を利用してシステムを操作される可能性があります。

なぜ暗号化ユーザーにとってより大きな脅威なのか

関連情報によると、Claude Codeは暗号開発者やトレーダーの間で非常に広く使われています。ソーシャルメディアの議論を見ると、多くの人がClaude Codeを使ってアービトラージプログラムや取引ロボットなど資金操作に関わるコードを書いています。この脆弱性を利用してコマンド実行権限を得た攻撃者は、次のような行動を取る可能性があります。

• ウォレットの秘密鍵やリカバリーフレーズの窃取
• 実行中の取引コードの改ざん
• APIキーや取引所の認証情報の傍受
• 悪意のあるプログラムをインストールし継続的に監視

過去の脆弱性の悪い前例

最新情報によると、この脆弱性は以前Cursorツールで公開された類似の脆弱性に似ています。注目すべきは、Cursorのこの類似脆弱性は未だ修正されていない点です。これにより、

• 類似の脆弱性が複数のAIコーディングツールに存在する可能性
• 修正にかかる期間が予想以上に長くなる可能性
• ユーザーはツール提供者の迅速な対応に依存できない

実際の攻撃はすでに始まっている

23pdsは、既にフィッシング攻撃を用いて暗号化ユーザーを攻撃しているハッカーがいることを明確に示しています。これは理論的なリスクではなく、現実に起きている事態です。攻撃者は次のような手段を取る可能性があります。

• Claude Code公式や技術サポートを装ったフィッシングメール
• ソーシャルメディア上の偽のチュートリアルやコード共有
• 一見正常なコード断片に見えても、実際には悪意のあるペイロードを含む

今あなたがすべきこと

• 資金に関わるコード（取引ロボット、ウォレット管理など）をClaude Codeで扱っている場合は、Anthropicが修正を確認するまで一時停止を推奨します
• Claude Codeの使用履歴を確認し、不審なコマンド実行記録がないか調査してください
• 秘密鍵やAPIキーなどの敏感情報を入力した場合は、直ちにこれらの認証情報を変更してください
• Anthropicの公式セキュリティアナウンスをフォローし、修正の最新状況を把握してください
• 既に生成されたコードについては、ローカル環境で慎重にレビューし、本番環境での実行前に十分な検証を行ってください

まとめ

Claude Codeのこの脆弱性は、AIコーディングツールのセキュリティ上の弱点を露呈しています。特に暗号化ユーザーにとっては、この脅威は非常に深刻です。コードが資金の安全性に直結しているためです。現時点では、油断せず、Anthropicの正式な修正を待つことが重要です。Cursorの脆弱性が長期間未修正のままであった事例は、ユーザーがツール提供者に完全に依存できないことを示しています。自己防衛意識と操作規範も同様に重要です。この脆弱性が完全に修正されるまで、Claude Codeが生成する資金操作に関わるコードの監査基準を高めることを推奨します。