技術的な説明
Claude Code は ~/.claude.json に MCP 設定と OAuth トークンを十分な整合性保護なしで保存しています。悪意のある npm パッケージをインストールするか設定ファイルを変更できる攻撃者は、MCP トラフィックを攻撃者が管理するインフラストラクチャにリダイレクトし、接続された SaaS プラットフォーム (GitHub、Slack、Google Workspace など) への広範なアクセスを許可する OAuth トークンを傍受できます。
攻撃経路
攻撃者は Claude Code が動的認可 MCP サーバーで設定されている開発者マシンに調整された npm パッケージをインストールするか、直接 ~/.claude.json を変更します。MCP トラフィックは古典的な MITM パターンで攻撃者インフラストラクチャを通じてリダイレクトされます。盗まれたトークンは初期の侵害を超えて持続し、接続されたサービスへの長期的なアクセスを可能にします。
影響を受けるシステム
動的 OAuth ベースの MCP サーバーを使用する Claude Code。静的 API キーまたはローカル スコープの MCP サーバーを使用しているシステムは影響を受けません。この問題は Mitiga Labs により 2026年5月7日に開示されました。
緩和策
Claude Code MCP サーバーが使用するすべての OAuth トークンをすぐにローテーションしてください。~/.claude.json ファイル整合性監視を実装します。npm パッケージインストールソースを制限します。予期しないプロキシまたはエンドポイント変更について MCP サーバー設定を監査します。Anthropic はまだパッチを発行していません。修復ガイダンスについて公式チャネルを監視してください。