Claude Code RCE脆弱性：悪意リンクをクリックするだけで任意コマンドが実行可能

Anthropic社のClaude Code CLIツールに、深刻なリモートコード実行（RCE）脆弱性（CVE未公開）が確認されました。攻撃者は被害者に特別に細工されたdeeplinkをクリックさせるだけで、対象デバイス上で任意のコマンドをサイレント実行でき、ユーザーの操作確認は一切不要です。この脆弱性はClaude Code 2.1.118で修正されています。

セキュリティ研究者のJoernchen（0day.click所属）がClaude Codeのソースコード監査中に本欠陥を発見しました。脆弱性の原因は、ツールがclaude-cli://プロトコルを処理するパラメータパーサーにあり、URI内の--prefillオプションに対する厳格なバリデーションが行われていなかった点です。攻撃者は悪意のあるURIを作成し、SessionStartフックを利用して攻撃ペイロードを注入。同時にrepoパラメータに被害者のローカルで信頼済みのリポジトリ（例：Anthropic社のanthropics/claude-code）を設定することで、警告を一切表示せずにバックグラウンドでコマンドを実行させます。

本攻撃のハードルは低く、攻撃者は一見無害なリンクを作成し、ソーシャルエンジニアリングやWebページのリダイレクトを介してユーザーにクリックさせるだけです。deeplinkハンドラーが悪意のあるパラメータを直接解析するため、サンドボックスの回避や権限昇格も不要です。Anthropic社は解析ロジックを修正する緊急アップデートをリリースしており、全ユーザーは直ちに2.1.118以降へアップグレードし、出所不明なclaude-cli://リンクには細心の注意を払う必要があります。

ポイント：本脆弱性は、CLIツールのディープリンク処理が攻撃対象となるハイリスク領域であることを改めて警告しています。開発者はURIハンドラーを実装する際、すべてのパラメータに対してホワイトリスト方式のフィルタリングとユーザー確認メカニズムをデフォルトで実装すべきです。さもなければ、わずかな解析ミスが完全なリモート制御リスクに発展する恐れがあります。