Claude Code × MCP のセキュリティ|2026年の脆弱性と安全な導入設計
MCP(Model Context Protocol)を Claude Code に繋ぐ前に。2026年に表面化した STDIO 由来の RCE・プロンプトインジェクション・レジストリ汚染などのリスクを一次情報で整理し、最小権限・隔離・サプライチェーン検証による安全な導入設計をまとめます。
目次 クリックで開く
MCP(Model Context Protocol)を使えば、Claude Code から社内システムや SaaS を自然言語で操作できます。一方で 2026 年に入り、MCP の構造そのものに起因するセキュリティリスクが相次いで指摘されました。本記事では、表面化した脅威を一次情報ベースで整理したうえで、Claude Code に MCP を「繋ぐ前」に決めておくべき設計のポイントを、実務目線でまとめます。
なぜ MCP がセキュリティの論点になるのか
MCP は、AI エージェントに「外部ツール」を持たせる共通規格です。便利さの本質は、Claude Code が MCP サーバー経由でファイル・データベース・API・社内システムに実行権限を持ってアクセスできる点にあります。これは裏を返せば、MCP サーバーが攻撃者に乗っ取られたり、悪意ある MCP サーバーを掴まされたりすれば、その権限がそのまま攻撃面になるということです。
従来の「チャット型 AI に情報を貼り付ける」リスクとは質が違います。MCP はコードの実行と外部通信を伴う境界であり、Web チャットの情報漏えいよりも、サプライチェーン攻撃・リモートコード実行(RCE)に近い性質を持ちます。
2026 年に表面化した MCP の主なリスク
① STDIO 実行モデルに起因する RCE(OX Security の開示)
2026 年 4 月、セキュリティ企業 OX Security は、MCP の STDIO 実行モデルに起因して任意コマンド実行(RCE)が可能になりうる構造的な問題を公表しました。これは特定の実装バグではなく、Anthropic 公式の MCP SDK(Python・TypeScript・Java・Rust)に共通する設計に根ざすとされ、累計 1.5 億超のダウンロード、7,000 以上の公開サーバー、最大 20 万規模のインスタンスが影響範囲として挙げられました。OX Security は約 5 か月の調査で 10 件以上の CVE を報告し、実在の本番環境でコマンド実行を実証したとしています。
Anthropic の立場(重要):Anthropic はこの挙動を「仕様通り(by design)」と説明し、プロトコル自体の変更はしていません。STDIO の実行モデルは安全な既定であり、入力のサニタイズは MCP サーバーを実装・運用する開発者の責任という整理です。公式の SECURITY.md には「STDIO アダプタは注意して使うこと」という注記が追加されましたが、SDK のアーキテクチャ変更(マニフェスト限定実行やコマンド許可リストの標準実装など)は行われていません。
ここから導ける実務上の結論は明確です。「公式が直してくれる」前提に立てない以上、MCP を安全に使えるかどうかは導入側の設計次第になります。具体的には、ユーザー入力や外部から来る文字列が StdioServerParameters のようなコマンド実行経路に到達しない設計にする、信頼できる MCP サーバーだけを使う、といった対策を自分たちで講じる必要があります。
② ツール説明文を悪用したプロンプトインジェクション
MCP サーバーは、自分が提供するツールの「説明文(description)」を Claude に渡します。攻撃者がこの説明文に細工をすると、利用者が気づかないうちに Claude の振る舞いを誘導できる――いわゆるゼロクリックのプロンプトインジェクションです。研究では、Claude Code に限らず Cursor・Windsurf・GitHub Copilot・Gemini CLI など、MCP に対応する主要なコーディング支援ツール全般で同種の問題が指摘されています。送金先や宛先の差し替えなど、ツール呼び出しのパラメータを書き換えられる点が危険とされます。
③ 悪意ある MCP サーバー/レジストリ汚染・typosquatting
MCP サーバーは誰でも公開でき、レジストリ(マーケットプレイス)経由で配布されます。OX Security の調査では、11 のレジストリのうち 9 つにテスト用ペイロードの登録が通り、6 つの本番プラットフォームで実際にコマンド実行が確認されたと報告されています。正規のサーバー名に似せたタイポスクワッティングや、人気ライブラリを装った配布も現実的な脅威です。
④ 設定ファイルの改ざん(サプライチェーン経由)
Claude Code が MCP のトラフィックをどう扱うかは、~/.claude.json などの設定が制御点になります。悪意ある npm パッケージがこのファイルを書き換えれば、利用者の知らないうちに MCP の接続先や挙動を差し替えられます。MCP のリスクは「サーバー単体」だけでなく、依存パッケージや設定ファイルまで含むサプライチェーン全体で考える必要があります。
こうした状況を受け、米 NSA も MCP のセキュリティに関するガイダンスを公表するなど、MCP は「便利な新技術」から「統制すべき攻撃面」へと位置づけが移りつつあります。
Claude Code 側に用意されている防御機構
リスクばかりを並べましたが、Claude Code には公式の防御機構が複数あり、正しく使えば多くの攻撃を封じ込められます。公式ドキュメントで挙げられている主なものを整理します。
| 機構 | 役割 |
|---|---|
| 既定で読み取り専用 | 編集・コマンド実行・外部通信は都度の明示承認が必要。書き込みは起動フォルダ配下に限定。 |
| permissions(allow/deny/ask) | .claude/settings.json で許可・拒否・確認を制御。MCP サーバーごとに許可範囲を絞れる。 |
サンドボックス(/sandbox) |
ファイルシステムとネットワークを隔離。インジェクションが成立しても被害を封じ込め、承認回数も削減。 |
| トラスト検証 | 初回のリポジトリと新規 MCP サーバーは利用前に承認が必要。 |
| コマンドブロックリスト | curl・wget など外部から任意コンテンツを取得するコマンドを既定でブロック。 |
| ネットワーク要求の承認・分離コンテキスト | 通信を伴うツールは承認制。Web フェッチは別コンテキストで実行し、悪性プロンプトの混入を防ぐ。 |
| managed settings / 監査 | 組織標準を強制。OpenTelemetry で利用を可視化、ConfigChange hooks で設定変更を監査。 |
| dev container | 隔離された開発環境で実行し、ホストへの影響を抑える。 |
ただし、ここが要注意です。Anthropic は、自社ディレクトリへの掲載前にコネクタを掲載基準でレビューはするものの、公式ドキュメントで「いかなる MCP サーバーもセキュリティ監査・管理はしない」と明言しています。つまり「Claude Code に防御機構がある=繋ぐ MCP も安全」ではありません。どの MCP を、どの権限で、どの隔離環境に繋ぐかの判断は、すべて導入側の責任です。
MCP を安全に導入するための実務チェックリスト
以上を踏まえ、Claude Code に MCP を繋ぐ前に決めておくべきことを、実務の順序で整理します。
- 発行元を絞る:自作するか、信頼できる提供元・公式ディレクトリのものだけを使う。レジストリからの無検証インストールは避け、名前の綴り(タイポスクワッティング)も確認する。
- 最小権限:MCP サーバーごとに
permissionsで許可範囲を限定する。特に本番データへの参照、書き込み・送信系のツールは、必要最小限に絞る。 - 隔離して実行:サンドボックス・dev container・VM 上で動かし、ネットワークの外向き通信はプロキシで制限する。インジェクションが成立しても被害が広がらない構造にしておく。
- サプライチェーンを検証:MCP サーバーの依存パッケージ(npm/pip)を点検し、SBOM を管理する。
~/.claude.jsonとsettingsはソース管理に置き、ConfigChangehooks で変更を監査する。 - 入力経路を断つ:ユーザー入力や外部由来の文字列が、MCP サーバー内のコマンド実行(
StdioServerParameters等)に直接到達しない実装にする。到達しうる場合はブロックするか、事前定義した安全なコマンドのみ許す。 - 本番データに繋ぐ MCP は別格で扱う:会計・顧客情報など機微なデータに触れる MCP は、学習利用の有無(ZDR)やデータの行き先まで含めて境界を設計する。
会計データのように特に機微な領域については、ZDR と MCP の「データの行き先」を分けて考える、freee 公式 MCP を繋ぐ前の権限の絞り方で、より具体的な設計を解説しています。Claude Code 全般のセキュリティ設計は導入前セキュリティチェックリストとシークレット・本番 DB に触れないガードレール設計もあわせてご覧ください。組織での運用統制(サンドボックス・権限モード・マネージド設定・監査)はClaude Code セキュリティ運用の決定版で扱っています。MCP の接続手順や自社システムの MCP 化はMCPとは?Claude Code への接続と社内システムの MCP 化を参照してください。
まとめ:MCP は「繋ぐ前の設計」で安全性が決まる
2026 年の一連の指摘が示したのは、MCP のリスクは「使うかどうか」ではなく「どう繋ぐか」で決まる、ということです。Anthropic がプロトコル側を修正しない方針を明確にした以上、安全性は導入側の設計に委ねられています。逆に言えば、発行元の選別・最小権限・隔離・サプライチェーン検証を最初に設計しておけば、MCP の利便性を享受しながらリスクは大きく下げられます。MCP は止めるべき技術ではなく、設計して使う技術です。
MCP・Claude Code の導入、繋ぐ前にご相談ください
どの MCP を、どの権限で、どの隔離環境に繋ぐか――Aurant が中立の立場で、セキュアな導入設計と、すでに進めている構成のセカンドオピニオンを支援します。情シス・セキュリティ部門との合意形成までお手伝いします。
執筆・監修
Aurant Technologies アーキテクト・コンサルタント
業務システムの段階移行・内製化支援と、AI エージェントのセキュアな導入設計が専門。本記事は公開された一次情報と実プロジェクトの観測値をもとに執筆しています。
AI・業務自動化
ChatGPT・Claude APIを活用したAIエージェント開発、n8n・Difyによるワークフロー自動化で繰り返し業務を削減します。まずはどの業務をAI化できるか診断します。