技術的な説明
Claude Codeは~/.claude.jsonにMCP設定とOAuthトークンを適切な整合性保護なしで保存しています。悪意のあるnpmパッケージをインストールするか、設定ファイルを変更できる攻撃者は、MCP トラフィックを攻撃者制御のインフラストラクチャを通じてリダイレクトでき、接続されたSaaS プラットフォーム(GitHub、Slack、Google Workspace等)への広いアクセス権を付与するOAuthトークンをインターセプトできます。
攻撃経路
攻撃者は、Claude Codeが動的認可MCP サーバーで構成されている開発者マシンにカスタマイズされたnpmパッケージをインストールするか、~/.claude.jsonを直接変更します。MCP トラフィックは古典的なMITMパターンで攻撃者のインフラストラクチャを通じてリダイレクトされます。盗まれたトークンは初期の侵害を超えて持続し、接続されたサービスへの長期的なアクセスを可能にします。
影響を受けるシステム
動的なOAuthベースのMCP サーバーを搭載したClaude Code。静的API キーまたはローカルスコープのMCP サーバーを使用しているシステムは影響を受けません。この問題はMitiga Labsによって2026年5月7日に開示されました。
緩和策
Claude Code MCP サーバーで使用されているすべてのOAuthトークンをすぐにローテーションします。~/.claude.jsonのファイル整合性監視を実装します。npmパッケージインストールソースを制限します。予期しないプロキシまたはエンドポイント変更についてMCP サーバー設定を監査します。Anthropicはまだパッチを発行していません。修復ガイダンスについては公式チャネルを監視してください。