脅威リサーチャーらが、AnthropicのClaude Codeエコシステムを標的とした新たな中間者(MitM)攻撃チェーンを発見しました。攻撃者はモデルコンテキストプロトコル(MCP)のトラフィックを乗っ取り、OAuth認証トークンを盗み出して、エンタープライズSaaSプラットフォームへの継続的なアクセス権を維持します。
この手法はMitigaが詳細を公開したもので、ローカルのClaude Code設定ファイル(~/.claude.json)に対する脆弱な保護を悪用します。これにより、同ファイルが認証済みAPIトラフィックをリダイレクトするコントロールプレーンとして機能してしまいます。
従来の認証情報窃取とは異なり、この攻撃は正規のOAuthフローと信頼されたインフラストラクチャを利用します。そのため、AtlassianのJiraやConfluenceの監査ログなど、プロバイダー側のログでは悪意のある活動が通常のユーザー操作と区別できません。
Claude Code MCPトラフィックへの攻撃手口
この攻撃の核心は、MCPのOAuthトークンです。このトークンは、接続されたサービスへの永続的かつスコープされたアクセスを付与する高価値なアーティファクトです。ユーザーがMCPインテグレーションを認可すると、Claude Codeはベアラートークンとリフレッシュトークンを~/.claude.json内に平文で保存します。
これらのトークンは有効期間が長く、自動的に更新されるほか、再度同意することなくセッション間で再利用されます。さらに重要な点として、MCPリクエストはAnthropicが管理するエグレスインフラストラクチャを経由してルーティングされます。つまり、攻撃者が中継するトラフィックであっても、信頼できる送信元からのものとして見えてしまいます。
こうした長期有効なトークン、広範なスコープ、脆弱なローカルストレージ、そして信頼されたネットワーク送信元という組み合わせが、トークンの密かな窃取と再利用にとって理想的な環境を生み出しています。
攻撃チェーンはサプライチェーンベクターから始まります。具体的には、ポストインストールフックを埋め込んだ悪意のあるnpmパッケージが典型的な手口です。実行されると、このフックはClaude Codeのローカル設定を改ざんし、信頼済みのプロジェクトパスを事前にセットし、MCPサーバーの設定をひそかに書き換えます。
事前に信頼フラグを設定することで、攻撃者はユーザーへの確認プロンプトを回避し、将来のプロジェクト読み込み時に埋め込まれたフックが自動的に実行されるようにします。次の段階では、~/.claude.json内のMCPエンドポイントを攻撃者が制御するプロキシ(ローカルのmitmproxyインスタンスなど)へ書き換えます。
Claude CodeがMCPセッションを開始またはリフレッシュする際、OAuthトークンはこのプロキシを経由して送信されるため、通信中のAuthorizationヘッダーが傍受されます。
持続性は継続的な再埋め込みによって確保されます。悪意のあるフックはClaude Codeのセッション開始のたびに実行され、ユーザーが修復を試みても不正なMCP設定が復元されます。
通常は侵害への有効な対応策であるトークンのローテーションも、この手口では効果がありません。更新されたトークンが同じプロキシ機構によって再び取得されてしまうためです。
これにより、一度きりの侵害が持続的なアクセスチャネルへと変貌し、攻撃者はエンドポイントやネットワークベースのアラートを発生させることなく、SaaSインテグレーションを無期限に制御し続けられます。
検出の観点からは、従来の指標では視認性に限界があります。プロバイダーのログには有効なセッション、正規のユーザーID、そしてAnthropicインフラストラクチャに関連する信頼されたIP範囲が表示されます。エンドポイントのテレメトリも正常に見える場合があり、唯一の異常は~/.claude.jsonへのわずかな変更だけかもしれません。
防御担当者は、承認済みMCPサーバーエンドポイントのベースラインを設定し、設定ファイルの整合性を監視し、不正な変更やローカルプロキシURLの挿入に対してアラートを発するよう推奨されています。さらに、異常なOAuthリフレッシュのパターンや、予期しないJiraクエリやユーザーロールと不一致なデータアクセス行動といった不審なダウンストリーム活動にもテレメトリを集中させる必要があります。
侵害の痕跡(IOC)の例としては、~/.claude.jsonへの不正な編集、localhostや非標準のMCPエンドポイントの存在、postinstallスクリプトを持つ不審なnpmパッケージ、改ざんされた設定から発生する繰り返しのOAuthトークンリフレッシュなどが挙げられます。ファイル整合性監視と開発者環境のセキュリティ強化が、こうしたリスクを軽減するうえで不可欠です。
開示のタイムラインによると、2026年3月23日に最初の発見があり、4月10日にAnthropicへの報告が行われました。同社はユーザーレベルのコード実行が前提条件であるとして、この問題を対象外と分類しました。
しかし、より広範なセキュリティへの影響は依然として重大です。サプライチェーン操作とAIツール設定の悪用を組み合わせることで、攻撃者は開発者環境を永続的な認証情報窃取の拠点へと変えることができます。
AI支援の開発ツールがエンタープライズシステムとの統合をさらに深める中、本研究は信頼境界が暗黙的に拡張されているものの、監視が不十分な攻撃対象領域の拡大という課題を浮き彫りにしています。
翻訳元: https://gbhackers.com/hackers-exploit-claude-code-mcp-traffic-to-hijack/
