技術的な説明
セキュリティ研究者Aonan Guanは2026年5月20日、Anthropic Claude Codeのネットワークサンドボックスが2025年10月20日(sandbox GA)から2026年4月1日(v2.1.90)まで、SOCKS5ホスト名のnull バイトインジェクションに脆弱であったことを開示した。この脆弱性により、攻撃者はホスト名にnull バイトを注入することで、ワイルドカードアローリストフィルタ(例: `*.google.com`)をバイパスできた: `attacker-host.com\x00.google.com`。フィルタは末尾の`.google.com`を見て接続を承認したが、OSリゾルバーはnull バイトで切り詰め、`attacker-host.com`にダイアルした。これはClaude Codeサンドボックスのバイパスとしては5ヶ月間で2番目であり、最初のバイパス(CVE-2025-66479、Guanが2025年12月に報告)はサンドボックスが`allowedDomains: []`を「すべてを許可」ではなく「すべてをブロック」と解釈していた。Anthropicはnull バイトインジェクションをv2.1.90で2026年4月1日にパッチしたが、Claude CodeのためのCVEを発行せず、リリースノートで修正に言及せず、GuanのHackerOneレポートを内部発見の重複としてマークした。Anthropicはレポート受信前に問題を特定し修正したと述べている。
攻撃経路
Claude Codeサンドボックス内で実行されるコードに影響を与えることができる攻撃者(例: Guanが以前開示したComment and Control技術などのプロンプトインジェクション経由)は、null バイトを含むSOCKS5ホスト名を作成してユーザーの設定されたネットワークアローリストをバイパスできる。これにより、サンドボックスがアクセスできる任意のリソースからのデータ流出が可能になる: 認証情報、ソースコード、環境変数、クラウドメタデータ、内部API、およびGitHubトークン。このバイパスはプロンプトインジェクションと組み合わせた場合に特に危険である。攻撃者はGitHubのissueコメント、プルリクエストタイトル、またはClaude Codeが読み込むリポジトリREADMEに指示を隠し、エージェントが攻撃者制御コードを実行させる。null バイトインジェクションはその後、ユーザーが厳密なアローリストへのエグレスを制限していても、そのコードが任意のインターネットホストにデータを送信することを可能にする。
影響を受けるシステム
v2.0.24(2025年10月20日、sandbox GA)から v2.1.89(2026年3月31日)までのClaude Codeの任意のデプロイメントで、ワイルドカードアローリストを備えたネットワークサンドボックスに依存していたもの。この期間中にワイルドカードアローリストを備えたClaude Codeを認証情報を保有するシステムで実行していたユーザーは、その期間を潜在的な流出イベントとして扱うべきである。この脆弱性はmacOSおよびLinuxデプロイメントに影響を与える。本番環境の認証情報、クラウドインフラストラクチャ、または内部ネットワークへのアクセス権を持つシステムでのClaude Codeの開発に使用している組織は、該当期間のログとアクセスパターンを監査すべきである。
緩和策
Claude Code v2.1.90以降(2026年4月1日リリース)にアップグレードする。2025年10月20日から2026年4月1日までの期間について、Claude Codeを実行しているシステムからの異常なアウトバウンド接続についてネットワークおよび認証ログを確認する。Claude Codeの脆弱性ウィンドウ中にアクセス可能だった認証情報とトークンをローテーションする。ネットワークアクセスを持つAIエージェント用に最小権限サービスアカウントを実装する。本番環境でAIコーディングエージェントを使用している組織の場合、エージェント実行環境を信頼されていないものとして扱い、エージェントのローカルサンドボックスだけでなくAPIゲートウェイで認可を実施する。エージェント提供のサンドボックスとは独立した二次制御として、ネットワーク層の監視(エグレスフィルタリング、DNSロギング)を検討する。