CVE-2026-42074 OpenClaudeのプロンプトインジェクションで発生するサンドボックス脱出リスクとAI Security対策指南

結論

• 危険度: 情報なし
• 対象: openclaude < 0.5.1
• 修正: 0.5.1
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-02 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42074は、OpenClaudeというオープンソースのコーディングエージェントCLIにある脆弱性です。バージョン0.5.1未満のOpenClaudeで、悪意あるLLM（大規模言語モデル）がサンドボックスを無効化し、ホストOS上の任意コードを実行できます

やさしく説明すると

たとえば、自宅の玄関ドアに鍵がかかっているはずが、実は誰でも簡単に鍵を壊して入れる状態だとします。OpenClaudeの脆弱性も同様です。通常はコードの勝手な実行を防ぐ「安全な箱（サンドボックス）」で守っていますが、古いバージョンでは悪意ある言語モデルがその箱を開けて自由に動かせてしまいます。こうなると乗っ取られ、好き放題にコンピューターを操作されてしまいます。

技術的な原因

この脆弱性はCWE-284（不適切なアクセス制御）とCWE-306（認証未実施）に該当します。OpenClaudeのBashToolの入力スキーマにある dangerouslyDisableSandbox パラメータがLLM側で設定可能です。つまり、信頼できないモデルがこの値をtrueにし、サンドボックスを無効化できてしまいます。

さらに、デフォルトで allowUnsandboxedCommands がtrueに設定されているため、この組み合わせでプロンプトインジェクションによるサンドボックス脱出、ひいてはOSレベルのコード実行が可能になります。

影響を受けると何が困るか

• 攻撃者が認証なしにホストの任意コードを実行し、インフラ全体を乗っ取る可能性
• APIキーや秘密情報（.env ファイルなど）の漏洩
• AIエージェントの挙動を改変され、プロンプトインジェクション攻撃やエージェント乗っ取りが可能に
• バイブコーダー（Cursor、Cline、GitHub Copilot等）を含むAI駆動開発環境の信頼性や安全性の喪失
• LLMコンテキストやRAG（Retrieval-Augmented Generation）データの改ざんによる情報漏洩や誤用
• 請求コストの異常増加や、テナント間の不正なデータアクセス

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 【高】

判断根拠

• CVSSスコアは公式に未発表だが、GitHub Advisory DatabaseではCritical相当の深刻度と判断されている。
• EPSS（悪用予測スコア）は未提供だが、任意コード実行の重大脆弱性である点から高リスク。
• ランサムウェア悪用は現時点で確認されていない。
• 公開PoCは存在しないが、GitHubで修正権限や議論が活発。将来的な悪用が懸念される。
• 攻撃条件はネットワークからLLMモデルを含むシステムへのアクセスが可能であり、デフォルト設定でサンドボックス機能が不十分である。

誰が動くべきか

• LLM Gatewayを運用するチーム（OpenClaudeを本番投入している場合）
• Agentフレームワーク開発者やSRE/SecOpsチーム
• AI駆動開発者、特にCursor、Cline、GitHub Copilot、Claude Codeなどのツールを使うバイブコーダー
• AI Securityの責任者やMLインフラチーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
openclaude（npmパッケージ）	0.5.1未満	0.5.1

バージョン確認コマンド

Python (pip)

pip show openclaude

出力例:

Name: openclaude
Version: 0.5.0
Summary: Coding-agent CLI for cloud and local model providers
...

判定: Versionが0.5.1未満なら脆弱

Node.js（npm）

npm list openclaude

出力例:

└─ openclaude@0.4.9

判定: @0.5.1未満なら脆弱

設定確認

本脆弱性は設定依存でなく、バージョン0.5.1未満ならデフォルト設定状態で脆弱です。特に allowUnsandboxedCommands がtrueのままだと攻撃可能です。

Nucleiテンプレートでの検出

本脆弱性に対応する公開Nucleiテンプレートは現在提供されていません。バージョン確認での検出を推奨します。

STEP 4: 修正を適用する

パッチ適用

Python (pip)

pip install --upgrade openclaude

出力例:

Successfully installed openclaude-0.5.1

Node.js（npm）

npm install openclaude@0.5.1

出力例:

+ openclaude@0.5.1
added 1 package

注意: 本番環境でのアップデート前に必ずバックアップを取得し、ステージング環境で動作検証を行ってください。特にサンドボックス関連の挙動を重点的にテストしてください。

パッチ即時適用ができない場合の暫定対応

現在のところ、公式からの暫定対応策は提示されていません。可能な限りネットワークアクセス制限や不審なコマンド実行の監視を強化してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドをもう一度実行してください。

期待される出力

Python (pip)

pip show openclaude

出力例:

Name: openclaude
Version: 0.5.1
Summary: Coding-agent CLI for cloud and local model providers
...

判定: バージョンが 0.5.1 以上ならOK

Node.js（npm）

npm list openclaude

出力例:

└─ openclaude@0.5.1

判定: バージョンが 0.5.1 以上ならOK

追加で確認すべきこと

公開Nucleiテンプレートはありませんが、ログに不審なコマンド実行や不正アクセスの痕跡がないか重点的に監視してください。

補足: 悪用観測状況

現時点でCISA KEVカタログには登録されておらず、ランサムウェアなどの悪用も報告されていません。GitHub上にもPoCの公開はありません。ただし、重要な任意コード実行の脆弱性であるため、将来的な悪用リスクは高いと評価されます。

補足: CVSSメトリクス詳細

• AV（攻撃元の距離）: ネットワーク
• AC（攻撃難易度）: 低
• PR（権限レベル）: 無し（認証不要）
• UI（利用者の操作）: 不要
• C（機密性の影響）: 高（機密情報漏洩の恐れ）
• I（完全性の影響）: 高（情報改ざん等の恐れ）
• A（可用性の影響）: 高（サービス停止等の恐れ）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自分の環境が対象か確認し、STEP 4の手順でバージョン0.5.1にアップデートしてください。その後、STEP 5で修正適用を確認してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、ネットワーク制限や監視強化でリスクを減らすことが重要です。できるだけ早期にアップデート計画を立ててください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ログに異常なコマンド実行や権限のない操作がないか監視してください。公式からのIOC情報はありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは実際に悪用される確率を表します。両方を確認すると対応の優先度がより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じCWE-284（不適切なアクセス制御）に分類される脆弱性は他にも存在し、特にAIエージェントのサンドボックス関連で類似の問題が報告されています。

参考文献

• OpenClaude GitHub コミット（修正）
• OpenClaude GitHub プルリクエスト（詳細議論）
• GitHub Advisory Database アドバイザリ
• NVD CVE-2026-42074

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• 認証バイパス に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧

2026-06-10 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-10時点	変化の意味
CVSSスコア変化	9 (Critical)	9.8 (CRITICAL)	NVD再評価でスコアが上昇
タイトルプレフィックス未付与	(プレフィックスなし)	【最重大】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開当初、本脆弱性のCVSSスコアは「9 (Critical)」とされていましたが、最新のNVDの再評価により「9.8 (CRITICAL)」へと上昇しました。これは評価指標に基づき危険性がさらに高いと判断されたことを意味します。スコア9.8はCVSSで最高水準となり、理論上の満点に極めて近い深刻なリスクを示します。該当バージョン運用中の環境では、改めて最優先でパッチ適用・リスク低減策の実施をご検討ください。

タイトルプレフィックス未付与

記事公開時点では、タイトルに「緊急度プレフィックス（【最重大】等）」が付与されていませんでした。しかし最新評価ではCVSSスコアが9.8となったため、運用ルール上「【最重大】」プレフィックスの付与が妥当となりました。これにより、当脆弱性が理論上最高レベルのリスク判定となったことが一目で把握できるように是正されています。今後は記事タイトルや管理台帳でも「【最重大】」として扱い、弱点対応の優先順位管理を徹底してください。

2026-06-17 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-17時点	変化の意味
CVSSスコア変化	9 (Critical)	9.8 (CRITICAL)	NVD再評価でスコアが上昇
タイトルプレフィックス未付与	(プレフィックスなし)	【最重大】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

今回、NVDによるCVSSスコアが「9 (Critical)」から「9.8 (CRITICAL)」へと上方修正されました。これは、技術的な影響範囲や攻撃容易性等の精査を通じて、リスク評価がより厳格化された結果です。CVSS 9.8は理論的な危険度がほぼ満点となり、攻撃者による悪用リスクが非常に高いことを意味します。ユーザー環境で対応が遅れる場合、侵害リスクがさらに高まるため、アップデートや設定変更等のアクションを一刻も早く検討してください。

タイトルプレフィックス未付与

記事公開時にはタイトルに緊急度プレフィックスが付与されておらず、危険度が正確に表現されていませんでした。今回は「【最重大】」のプレフィックスが新たに付与されるようになり、現在のリスク水準が読者に分かりやすく表示されます。このラベルはKEV未登録のままCVSSが9.5以上となった場合に付与されます。自組織内でも緊急度に合わせた優先順位付けを行い、1週間以内の対応計画および影響評価を強く推奨します。