Claude Code に .env を読ませない — deny permissions の現実とフックでの実効的対策

Claude Code の `settings.json` で `deny` permissions を書けば `.env` を保護できる、と思っているなら危険。Anthropic 公式リポジトリには 2026 年に入っても deny ルールが Read/Bash で正しく強制されないバグ報告が複数残っており、The Register も 2026 年 1 月に報じた。本稿は現実的に「秘密情報を Claude に読ませない」ための実装手順をまとめる。

何が壊れているか

公式ドキュメント上の推奨設定はこう書く：

{
  "permissions": {
    "deny": ["Read(./.env)", "Read(./.env.*)", "Read(*.pem)", "Read(*.key)", "Read(~/.ssh/**)"]
  }
}