Claude Codeソースコード流出事件の全容|原因・影響・企業が取るべきセキュリティ対策
AIツールが企業の業務インフラとして浸透しつつある2026年。その信頼を大きく揺るがす事件が発生しました。Anthropic社が提供するAI開発支援ツール「Claude Code」のソースコードが、npmレジストリを通じて意図せず公開されたのです。
流出したのは約512,000行のTypeScriptコード、およそ1,900ファイル。未発表の機能や内部の開発方針まで含まれており、AIツールのセキュリティに対する根本的な問いを投げかけています。
本記事では、この事件の経緯・原因・影響を正確にまとめたうえで、AIツールを業務で利用しているユーザーが今すぐ取るべき対策を具体的に解説します。
事件の概要 -- 何が起きたのか
2026年3月31日、セキュリティ研究者たちがClaude Codeのnpmパッケージに含まれるSource Mapファイルから、難読化前のオリジナルソースコードを復元できることを発見しました。VentureBeatの報道によると、以下が事件のタイムラインです。
事件のタイムライン
- 3月31日(日本時間):npmに公開されたClaude Codeパッケージ内のSource Mapファイルから、TypeScriptのオリジナルソースコードが参照可能な状態であることが判明
- 同日 00:21〜03:29 UTC(日本時間 09:21〜12:29):この時間帯にnpm更新を行ったユーザーが、悪意あるaxiosパッケージを取得した可能性が指摘される
- 同日中:GitHubで41,500回以上フォークされ、逆工学(リバースエンジニアリング)が急速に進行
- Anthropic社が声明:「人為的なパッケージング問題であり、セキュリティ侵害ではない」と発表し、再発防止策を展開予定と表明
注目すべきは、この事件がAnthropicにとって2週間以内で2度目のセキュリティ関連事象だったことです。前回は「Mythos」と呼ばれる内部プロジェクトに関する情報が意図せず公開されており、セキュリティ管理体制そのものに疑問を投げかける声が上がっています(Fortune)。
流出した情報の範囲と影響
今回の流出で公開された情報は、単なるソースコードにとどまりません。The Registerの報道によると、以下の内容が含まれていました。
流出した主な情報
- 未発表の次世代機能「KAIROS」:自律デーモンモードと呼ばれる、AIが継続的にバックグラウンドで動作する機能。まだ公式には発表されていなかった
- 44個の機能フラグ:内部テスト中の開発途上の機能群。Anthropicの今後の開発ロードマップが推測可能になった
- 「Undercover Mode」:オープンソースプロジェクトへの匿名貢献を可能にする機能。AI生成コードの透明性に関する議論を呼んだ
流出していない情報
一方で、以下の重要な情報は流出の対象に含まれていません。
- ユーザーの個人データ
- APIキーや認証情報
- AIモデルの重み(パラメータ)
つまり、ユーザーのプライバシーやAIモデルそのものへの直接的な影響はないとされています。ただし、別の深刻なリスクが指摘されています。
悪意あるパッケージ混入のリスク
Cybernewsの報道によると、2026年3月31日 00:21〜03:29 UTC(日本時間 09:21〜12:29)の間にnpm更新を行ったユーザーが、悪意のあるaxiosパッケージ(RAT: リモートアクセストロイの木馬を含む)を取得した可能性があります。
RATとは、攻撃者が遠隔からコンピュータを操作できるマルウェアの一種です。仮にこのパッケージがインストールされていた場合、開発環境内のソースコード、環境変数、認証情報が外部に送信されていた可能性があります。
なぜこの流出が起きたのか -- 技術的な原因
今回の流出は、高度なサイバー攻撃によるものではありません。XenoSpectrumの分析によると、原因は極めてシンプルな設定ミスでした。
Source Mapとは何か
Source Map(ソースマップ)とは、JavaScriptやTypeScriptの開発で使われるファイルで、難読化・圧縮されたコードとオリジナルのソースコードを対応づける地図のようなものです。
通常、npmで公開するパッケージには難読化されたコードのみを含め、Source Mapは除外します。開発者がデバッグ時に使うための補助ファイルであり、本番環境や公開パッケージに含めるべきものではありません。
.npmignoreの設定漏れ
npmパッケージを公開する際、.npmignoreというファイルで「パッケージに含めないファイル」を指定します。今回の問題は、この.npmignoreにSource Mapファイル(.map拡張子)が正しく記載されていなかったことに起因します。
つまり、ビルドプロセスで自動生成されたSource Mapが、そのままnpmパッケージに同梱されて公開されたのです。Source MapにはオリジナルのTypeScriptコードへの参照が含まれているため、誰でもソースコードを復元できる状態になっていました。
CI/CDパイプラインでのチェック不足
通常、大規模なソフトウェアプロジェクトでは、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインの中で、公開前のパッケージ内容を自動チェックする仕組みを導入します。たとえば以下のようなチェックです。
- パッケージに含まれるファイル一覧の検証
- Source Mapや機密ファイルの混入検出
- パッケージサイズの異常検知
今回の事件は、こうした自動チェックが十分に機能していなかった、あるいは存在しなかったことを示唆しています。512,000行ものソースコードが含まれていれば、パッケージサイズの異常として検出できたはずです。
ユーザーが今すぐ取るべき5つの対策
Claude Codeを利用しているユーザー、あるいはnpmベースの開発環境を運用している企業は、以下の対策を速やかに実行してください。
1. 該当時間帯にnpm更新していないか確認する
最も緊急度が高いのは、2026年3月31日 00:21〜03:29 UTC(日本時間 09:21〜12:29)の間にnpmの依存関係を更新したかどうかの確認です。
この時間帯にnpm installやnpm updateを実行していた場合、悪意あるaxiosパッケージを取得している可能性があります。CI/CDのビルドログ、ターミナルの履歴、パッケージのロックファイル(package-lock.json)の変更履歴を確認しましょう。
2. axiosパッケージを最新版にアップデートする
axiosはHTTPクライアントライブラリとして多くのプロジェクトで使われています。該当時間帯にインストールしたかどうかに関わらず、現在使用しているaxiosのバージョンを確認し、公式の最新安定版にアップデートしてください。
npm ls axiosコマンドで現在のバージョンを確認し、npm install axios@latestで最新版に更新できます。
3. 依存関係の監査を実行する(npm audit)
npm auditコマンドを実行して、プロジェクト内の全依存パッケージに既知の脆弱性がないかを確認しましょう。
npm audit fixで自動修正できるものは即座に適用し、手動対応が必要なものはリストアップして優先度をつけて対処します。定期的な監査を習慣化することが重要です。
4. APIキー・認証情報のローテーション
該当時間帯にnpm更新を行っていた場合は、開発環境で使用している全てのAPIキー、トークン、認証情報をローテーション(再発行)してください。
特に以下の情報は最優先で対応が必要です。
- クラウドサービス(AWS、GCP、Azure)のアクセスキー
- データベースの接続情報
- 外部APIのトークン(Slack、GitHub、決済サービスなど)
.envファイルに記載されている全ての機密情報
5. ログの確認と不審な通信の検出
RATが仕込まれていた場合、外部サーバーへのデータ送信が行われている可能性があります。ネットワークログ、ファイアウォールのログ、DNS問い合わせログを確認し、見慣れないIPアドレスやドメインへの通信がないかをチェックしてください。
特に開発サーバーやCI/CD環境からの外向き通信(アウトバウンド)に注目し、通常とは異なるパターンがないかを精査します。
AIツールを安全に使うためのセキュリティベストプラクティス
今回の事件は、AIツールに限った話ではなく、npmエコシステムを利用するすべての開発者に共通するリスクを浮き彫りにしました。以下のベストプラクティスを日常的に実践することで、同様のリスクを大幅に軽減できます。
依存関係の定期的な監査
npm auditを週次で実行するだけでなく、依存パッケージの変更通知を自動化しましょう。GitHubのDependabotやSnykなどのツールを活用すれば、脆弱性のあるパッケージが検出された時点で自動的にアラートが届きます。
lockfileの活用と固定バージョンの運用
package-lock.jsonやyarn.lockを必ずリポジトリにコミットし、依存パッケージのバージョンを固定してください。npm ciコマンドを使えば、lockfileに記載された正確なバージョンのみがインストールされます。
これにより、意図しないバージョンアップによる悪意あるコードの混入を防げます。
サンドボックス環境での実行
AIコーディングツールを使用する際は、本番環境の認証情報やソースコードにアクセスできない隔離された環境で実行することを推奨します。Dockerコンテナや仮想マシンを活用し、万が一マルウェアが混入しても被害を最小限に抑える構成を取りましょう。
CI/CDパイプラインでのセキュリティスキャン
ビルドプロセスの中に、セキュリティスキャンのステップを組み込みましょう。具体的には以下のチェックが有効です。
- 依存関係スキャン:既知の脆弱性を持つパッケージの検出
- SAST(静的アプリケーションセキュリティテスト):ソースコード内のセキュリティ上の問題を検出
- シークレット検出:コード内にハードコードされたAPIキーやパスワードの検出
- パッケージ内容の検証:公開前にパッケージに含まれるファイルの一覧を確認
.envファイルとシークレット管理の徹底
環境変数や認証情報は必ず.envファイルで管理し、.gitignoreと.npmignoreの両方に記載してください。さらに、AWS Secrets ManagerやHashiCorp Vaultなどのシークレット管理サービスを導入することで、認証情報のローテーションや監査ログの管理が容易になります。
まとめ -- AIツールの利便性とリスクのバランス
今回のClaude Codeソースコード流出事件から得られる教訓は、大きく3つあります。
- どれだけ高度なAIツールでも、人為的なミスは起こる:Source Mapの除外漏れという単純な設定ミスが、512,000行のソースコード流出を引き起こした
- サプライチェーン攻撃のリスクは常に存在する:悪意あるパッケージの混入は、npmエコシステムに依存する全ての開発者にとって現実的な脅威である
- セキュリティは「導入時」だけでなく「運用」で決まる:定期的な監査、lockfileの管理、サンドボックス環境の構築など、日常的なプラクティスが被害を防ぐ
AIツールは業務効率を劇的に改善する強力なパートナーです。しかし、その導入にあたってはセキュリティの基盤を整えることが大前提です。ツールの利便性だけに目を奪われず、リスク管理とセットで導入計画を立てることが、これからの企業に求められる姿勢でしょう。
株式会社Sei San Seiでは、BPaaS(業務自動化)サービスを通じて、セキュリティを考慮したAIツールの導入設計から運用まで一貫してご支援しています。AIツールを安全に活用したいとお考えの企業様は、お気軽にご相談ください。
