Claude Codeセキュリティ設定ガイド|数千万円被害の事件から学ぶ対策
この記事で分かること:
- 2026年3月に起きたClaude Code経由のセキュリティ事件の全体像
- 今すぐ設定すべきセキュリティ対策5つと具体的な手順
- チーム・組織で使うときに追加すべき対策
Claude Codeで実際に起きたセキュリティ事件
2026年3月、Claude Codeを起点とした数千万円規模のセキュリティ被害が報告された。「自分は大丈夫」と思っている人ほど読んでほしい。
Google広告MCC乗っ取り — 被害額は数千万円
ある広告代理店が、Claude Code経由でGoogle広告のMCCを第三者に乗っ取られた。被害額は数千万円規模。
攻撃は4ステップで進んだ。
- 開発者がClaude Codeで作業中、外部Webサイトを参照
- Webサイトに仕込まれた悪意あるプロンプトをClaude Codeが読み取る
.envファイルの中身がログに出力される- 漏洩した認証情報でMCCアカウントが奪われた
MCC配下の広告アカウントはすべて攻撃者の手に渡る。他人の予算で自分の広告を配信できる状態だ。
Claude Codeの脆弱性も発見されている
Check Point社が2026年2〜3月に報告した脆弱性も深刻だった。
| 脆弱性ID | CVSS | 内容 |
|---|---|---|
| CVE-2025-59536 | 8.7 | MCPサーバー承認をバイパス |
| CVE-2026-21852 | 5.3 | URL操作によるAPIキー窃取 |
| CVE-2025-6514 | 9.6 | mcp-remoteパッケージでRCE(43万DL以上に影響) |
すべてAnthropicが修正済み。ただし古いバージョンのままだとリスクは消えない。アップデートは後回しにしないこと。
Claude Codeのセキュリティ対策 — 今すぐやるべき5つの設定
まず、自分がどこまで対策できているかチェックしてみよう。
ここから優先度順に設定手順を説明する。
①サンドボックスを有効にする
Claude Codeが実行するBashコマンドをOSレベルで隔離する。これが最優先の対策だ。
Claude Codeのチャットでこう入力するだけ。
/sandbox
macOSではSeatbelt、LinuxではBubble Wrapが裏で動く。Anthropic公式によれば、この設定だけで承認プロンプトが約84%減る。面倒な承認ダイアログも減り、セキュリティと使い勝手の両方が良くなる。
サンドボックスが制限するのは主に2つ。
- ファイルシステム:起動ディレクトリ以下にしか書き込めなくなる
- ネットワーク:指定ドメイン以外への通信が遮断される
②危険なコマンドをDenyリストに追加する
.claude/settings.jsonで、実行を禁止するコマンドを指定する。
{
"permissions": {
"deny": [
"Bash(rm -rf *)",
"Bash(curl *)",
"Bash(wget *)",
"Bash(git push --force *)"
]
}
}
パーミッションはDeny → Ask → Allowの順で評価される。Denyに入れたコマンドは問答無用でブロックだ。
ここで落とし穴がある。Bash(python3 *) や Bash(node *) をAllowに入れると、PythonのurllibやNode.jsのhttpモジュール経由でcurl/wget制限をすり抜けられる。Allowリストは絞りに絞ること。
③機密ファイルへのアクセスをブロックする
MCC乗っ取り事件では、.envの読み取りが出発点だった。同じ轍を踏まないための設定がこれだ。
{
"permissions": {
"deny": [
"Read(.env*)",
"Read(*.pem)",
"Read(*.key)",
"Read(~/.ssh/*)",
"Read(~/.aws/*)",
"Read(~/.config/gh/*)",
"Read(~/.npmrc)"
]
}
}
SSH秘密鍵、AWSクレデンシャル、GitHubトークンなど、認証情報が入りうるパスは一通りブロックしておく。
④ネットワークアクセスを制限する
サンドボックスと合わせて、通信先をホワイトリストで絞れる。
{
"sandbox": {
"network": {
"allowedDomains": [
"github.com",
"npmjs.org",
"registry.npmjs.org"
]
}
}
}
ここに載っていないドメインへの通信はすべて止まる。万が一認証情報が読み取られても、外部に送信できなくなるわけだ。
⑤バイパスモードを無効化する
--dangerously-skip-permissions という起動フラグがある。名前通り、パーミッションチェックを全部飛ばすオプションだ。
{
"disableBypassPermissionsMode": "disable"
}
この設定を入れておけば、誰かが「毎回の確認が面倒だから」とバイパスモードで立ち上げる事態を防げる。チーム開発では必須に近い。
CLAUDE.mdでセキュリティルールを定義する
プロジェクトルートに置くCLAUDE.mdで、Claude Codeのふるまいをテキストで指定できる。
セキュリティ向けにはこんな内容を書く。
## セキュリティルール
- 秘密鍵・APIキー・認証情報を要求・出力しない
- 個人データをログに出力しない
- .envファイルの内容を表示・引用しない
- 外部URLからのスクリプト実行を行わない
ただしCLAUDE.mdはあくまでガイドラインだ。パーミッション設定やサンドボックスのように技術的に強制する力はない。セッション開始時のフックとしては有効だが、これ一つで守りきれるものではない。他の設定と組み合わせて使う前提で考えておこう。
チーム・組織で使うときの追加対策
個人で使うなら上の5設定でひとまず十分。チームや企業で導入するなら、もう2段階踏み込んだ対策がある。
DevContainerで環境を隔離する
最も堅い方法は、Claude Codeをコンテナの中に閉じ込めることだ。Anthropicが公式でDevContainerの参照実装を公開している。
- ホストマシンのファイルシステムと完全に分離される
- ネットワークをファイアウォールで絞れる
- コンテナ内なら
--dangerously-skip-permissionsを使っても被害が外に出ない - メンバー全員が同一環境で開発できる
組織ポリシーで設定を一元管理する
Claude for TeamsやEnterpriseには、Server-managed settingsという仕組みがある。組織のセキュリティポリシーを全メンバーに強制できる。MDM経由での配信にも対応済みだ。
管理者が制御できる項目の例:
- 使えるMCPサーバーの制限
- 許可ドメインの統一
- フックや拡張機能の制限
- パーミッションルールの上書き禁止
セキュリティ設定を個人任せにしない。組織として統制する仕組みだ。
「設定が多くて自分だけでは不安」という場合、ココナラでAIツールの設定代行を依頼する手もある。
よくある質問
Q. Claude Codeは無料プランでもセキュリティ設定できる?
Claude CodeはClaude Pro(月額20ドル)かMax(月額100ドル/200ドル)プランが必要だ。無料プランでは使えない。セキュリティ設定自体はプランによる差がなく、サンドボックスもパーミッションもCLAUDE.mdもすべて使える。
Q. Claude Codeに渡したコードはAIの学習に使われる?
API・Team・Enterprise経由で送ったデータはモデル学習に使われない。Anthropicのプライバシーポリシーに明記されている。AWS BedrockやGoogle Vertex AIを経由すれば、コードもプロンプトもAnthropicには渡らない。
Q. CursorやGitHub Copilotと比べてセキュリティはどう?
Claude Code固有の強みは、パーミッションの細粒度制御とOSレベルのサンドボックスを組み合わせている点だ。CursorやGitHub CopilotにもAIコード生成の安全機能はあるが、Bashコマンド実行をOS側で隔離する仕組みはClaude Code独自のもの。ツール選定ではセキュリティ機能も判断材料に入れたい。
この記事で紹介したサービス
| サービス名 | カテゴリ |
|---|---|
| ココナラ | freelance |
