CVE-2026-46406 Claude Codeのパストラバーサルで機密情報漏洩の危険性 AI Security対策バイブコーダー向け実務手順

結論

• 危険度: 情報なし
• 対象: @anthropic-ai/claude-code >= 2.1.59, < 2.1.128
• 修正: 2.1.128
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-06-29 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-46406は、代理型AIコーディングツールであるClaude Codeの脆弱性です。バージョン2.1.59から2.1.127までの間、/copyコマンドの応答を誰でも読める場所に書き込みます。攻撃者は同じシステムの一般ユーザーとして、この応答内容を盗んだり、ファイルを書き換えたりできます。AI開発・運用者にとっては重大な脆弱性です。

やさしく説明すると

玄関の鍵がかかっていない状態と同じです。Claude Codeが作成する応答ファイルが、誰でも見れる場所に置かれます。しかもそのファイル名や場所が決まっていて予測しやすいです。悪意あるユーザーがシンボリックリンク（別のファイルへの抜け道）を仕込み、AIが誤ってそのファイルを書き換えてしまいます。結果、秘密情報の流出や重要ファイルの上書きが可能になるのです。

技術的な原因

本脆弱性はCWE-59（ファイルパスの競合条件）、CWE-200（情報漏洩）、CWE-377（アクセス権限の未管理）に該当します。具体的には、/copyコマンドが応答を固定パス（/tmp/claude/response.md）にユーザー識別（UID）分離やランダム性なしで書き込み、さらにシンボリックリンク保護が無いためです。この結果、権限分離されていない世界読取可能ファイルが生成され、情報漏洩やファイル上書きを招きます。

影響を受けると何が困るか

• 権限の高いユーザーのClaude Code応答に含まれるシークレットや認証情報の漏洩
• 同一ホスト上の他ユーザーによるファイル上書きで、AI動作やシステム設定の改ざん
• ローカルユーザーによるAIエージェント乗っ取りやコマンド実行
• 開発者の環境にある.envやAPIキーの露出リスク増大
• AI駆動開発環境(Cursor/Cline/GitHub Copilotなど)のファイル操作・権限昇格被害

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアは未提供だが、NVDとGitHub Advisoryで中リスク（Medium）相当と判断
• EPSS（悪用予測スコア）は未登録のため、直近の悪用予測情報はない
• ランサムウェア悪用の報告はなく、実稼働環境で即攻撃されている証拠なし
• 公開PoCコードは存在せず、実際の攻撃手法は限定的
• 攻撃にはローカルユーザーアクセスと権限のあるユーザーの/copyコマンド実行が必要で、リモート攻撃ではない
• デフォルト設定で脆弱だが、攻撃の難易度はやや高い

誰が動くべきか

• Claude Codeを本番運用しているAI駆動開発チーム
• バイブコーダー開発者およびCursor/Cline/GitHub Copilot/Claude CodeなどAIコーディングツール利用者
• AIエージェントフレームワーク運用者（Agentic環境含む）
• セキュリティ運用チームやSREチームでClaude Codeのモジュールを管理する担当者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Node.js（npm）

npm list @anthropic-ai/claude-code

出力例:

@your-project
└── @anthropic-ai/claude-code@2.1.64

判定: バージョンが 2.1.59 以上かつ 2.1.128 未満なら脆弱です

設定確認

本脆弱性は設定依存ではありません。バージョンが対象範囲内であれば脆弱と判断してください。

Nucleiテンプレートでの検出

本脆弱性に対応した公開Nucleiテンプレートは現時点で見つかっていません。検出はバージョン確認で対応してください。

STEP 4: 修正を適用する

パッチ適用

Node.js（npm）

npm install @anthropic-ai/claude-code@2.1.128

判定: このコマンドで修正版2.1.128に更新可能です

注意: パッチ適用前に必ずプロジェクトのバックアップを取得してください。ステージング環境で動作検証を行い、本番環境でのダウンタイム計画を立てた上で適用してください。

パッチ即時適用ができない場合の暫定対応

公式による暫定対応策は提示されていません。緊急の場合は、脆弱なホストに対しローカルユーザーのアクセス制御を強化してください。不要なユーザー権限やアクセスを制限することが重要です。

STEP 5: 修正されたことを確認する

STEP 3で使用したバージョン確認コマンドを再度実行してください。

期待される出力

Node.js（npm）

npm list @anthropic-ai/claude-code

出力例:

@your-project
└── @anthropic-ai/claude-code@2.1.128

判定: バージョンが 2.1.128 以上ならOKです

追加で確認すべきこと

本脆弱性に対応したNucleiテンプレートは未提供のため、特別なスキャンは不要です。ログに不審なアクセスや権限昇格の兆候がないか、セキュリティ監視を継続してください。

補足: 悪用観測状況

現時点でCISAによる悪用観測はありません。GitHubでの公開PoCも報告されていません。したがって、実際の攻撃はまだ確認されていない状況です。ただし、修正がリリースされているため速やかな対応を推奨します。

補足: CVSSメトリクス詳細

• AV (Attack Vector): 攻撃ベクトル。ネットワーク、隣接、ローカルなど攻撃者のアクセス範囲を示す。
• AC (Attack Complexity): 攻撃の複雑さ。単純な攻撃か複雑な条件を必要とするか。
• PR (Privileges Required): 攻撃に必要な権限。管理権限が必要か、なしで可能か。
• UI (User Interaction): 攻撃にユーザーの操作が必要かどうか。
• S (Scope): 攻撃が影響する影響範囲の拡大が起きるか。
• C (Confidentiality): 機密性への影響。情報漏洩の度合い。
• I (Integrity): 完全性への影響。データ改ざんや不正書き込み。
• A (Availability): 可用性への影響。サービス停止など。

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. 本記事のSTEP 3〜5の手順を実施してください。特にバージョンを調べて脆弱範囲なら2.1.128にアップデートしてください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 権限管理を強化し、攻撃可能なローカルユーザーのアクセスを制限してください。公式の暫定対応はありませんので注意が必要です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 公式にイメージされたIOCはありませんが、ファイル書き換えや不審なシンボリックリンク設置がないかログ・ファイル監査を行ってください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論的な深刻度を示しますが、EPSSは「実際に悪用される確率」を示します。両方確認すると対応優先度の判断が正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-59（ファイルパスの競合条件）やCWE-200（情報漏洩）に該当する脆弱性は他にも多数あります。特にローカルファイルに関する脆弱性には注意が必要です。

参考文献

• NVD – CVE-2026-46406
• GitHub Advisory – GHSA-4vp2-6q8c-pvq2
• GitHub Security Advisory Database

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• 情報漏洩 に関するCVE・脆弱性記事一覧
• AI Agent に関するCVE・脆弱性記事一覧
• AIコーディングツール に関するCVE・脆弱性記事一覧