出典: Zenn (Claude topic)
Claude Code で見つけた TOCTOU 脆弱性について自分の理解をまとめる
Zenn (Claude topic) の記事を Hiroba が自動要約。
元記事を読む →Hiroba による自動要約
Claude Code のバージョンアップで TOCTOU 対策が実装されたことをきっかけに、チェック時点と使用時点のタイミングズレを突く脆弱性について、実例を交えながら解説しています。
きっかけ anthropics/claude-code-action のバージョンアップにTOCTOU対策(v1.0.45)という見慣れない単語があった。 調べてみたら意外と身近で怖い脆弱性だったので、整理してみる。
TOCTOU(Time-of-Check to Time-of-Use)とは チェックした時点と、実際に使う時点の間にデータが変わってしまう脆弱性。 名前の通り、Check と Use のタイミングのズレを突く攻撃手法で、レースコンディション(競合状態)の一種。
日常の例え
警備員が部屋を覗き、誰もいないことを確認する(Check) 警備員がドアを閉めに向かう...