メインコンテンツへスキップ
補助金さがすAI

AIツール「Claude Code」51万行のソースコード流出――中小企業が学ぶべきセキュリティ教訓と使える補助金

AIツール「Claude Code」51万行のソースコード流出――中小企業が学ぶべきセキュリティ教訓と使える補助金 - ニュース - 補助金さがすAI

忙しい人向けの30秒まとめ

  • 大手AI企業でも「設定ファイル1行の漏れ」が51万行の流出につながった。自社のGoogleドライブ・Dropboxの共有設定ミスは「中小企業でも明日起きること」。
  • 3月31日00:21〜03:29(UTC)にnpm経由でインストール・更新したシステムはトロイの木馬の混入リスクあり。業務ソフト・OSを最新状態に保つことが最低限の対策。
  • セキュリティ対策にはデジタル化・AI導入補助金(セキュリティ対策推進枠、上限150万円・補助率1/2〜2/3)が使える。1次締切は5月12日。

2026年3月31日、米Anthropic社が提供するAIコーディングツール「Claude Code」のソースコード約51万2,000行が、npmパッケージの設定ミスにより意図せず公開されていたことが判明しました。さらに同時期にサプライチェーン攻撃も発生し、一部ユーザーにマルウェアが配布される事態に。大手AI企業でも起きるセキュリティ事故から、中小企業が学ぶべき教訓と、セキュリティ対策に使える補助金を解説します。

何が起きたのか――Claude Codeソースコード流出の全容

Claude Codeは、Anthropic社が提供するAIを活用したコーディング支援ツールで、25億ドル(約3,750億円)規模の年間売上を持つ主力製品の一つです。そのソースコードが、配布パッケージに含まれていたデバッグ用ファイルから完全に復元できる状態で公開されていました。

項目 内容
発覚日 2026年3月31日
流出規模 約1,900ファイル・51万2,000行超のTypeScriptコード
原因 npmパッケージへのソースマップファイル(.map)の同梱ミス
影響範囲 GitHubミラーリポジトリが41,500回以上フォーク
Anthropic社の声明 「ヒューマンエラー。顧客データや認証情報は含まれていない」

発見したのはセキュリティ研究者のChaofan Shou氏で、X(旧Twitter)で公表。数時間のうちに世界中の開発者がソースコードをダウンロード・解析し、GitHub上に大量のコピーが作成されました(The Register、2026年3月31日報道)。

なぜ流出したのか――原因は「設定ファイル1行」の漏れ

流出の直接的な原因は、驚くほど単純なものでした。

Claude Codeは「Bun」というJavaScriptバンドラーを使ってビルドされています。Bunはデフォルトで「ソースマップ」というデバッグ用ファイルを生成します。このファイルには、難読化(読みにくく変換)する前の元のソースコードがそのまま含まれています。

通常、公開配布するパッケージには「.npmignore」という設定ファイルで不要なファイルを除外します。しかし、Anthropic社はこの設定でソースマップファイル(*.map)を除外し忘れていました。たった1行の設定漏れが、51万行のソースコード流出につながったのです。

さらに皮肉なことに、Anthropic社はBunの開発元を買収しており、Bun自体にも「本番モードでソースマップを出力してしまう」既知のバグが報告されていました。自社のツールチェーンの既知バグが、自社製品のソース流出を引き起こした形です(heise online、2026年3月31日報道)。

中小企業への教訓:大手IT企業でも「設定1つの漏れ」で重大な情報流出が起きます。自社のWebサイトやシステムでも、公開サーバーに不要なファイル(デバッグ情報、設定ファイル、バックアップ等)が残っていないか確認が必要です。

お子さまの学び、もっと良くなるかもしれません

保護者の声をAI家庭教師の開発に反映します。匿名30秒で完了。

30秒で回答する →

同時発生したサプライチェーン攻撃の危険性

ソースコード流出と前後して、さらに深刻な問題が発生しました。Claude Codeが依存する「axios」というソフトウェア部品(npmパッケージ)に対するサプライチェーン攻撃です。

影響期間:2026年3月31日 00:21〜03:29(UTC)にnpm経由でClaude Codeをインストールまたは更新した場合、リモートアクセス型トロイの木馬(RAT)を含む悪意あるaxiosバージョンを取り込んでいる可能性があります(VentureBeat、2026年3月31日報道)。

「サプライチェーン攻撃」とは、製品そのものではなく、製品が使っている部品や外部サービスを経由して攻撃する手法です。これはIT業界だけの話ではありません。

中小企業でも、利用しているクラウドサービス・決済システム・業務ソフトが攻撃されれば、自社の顧客情報や取引データが危険にさらされます。実際にIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」でも、サプライチェーン攻撃は組織向け脅威の上位にランクインしています。

中小企業が他人事にできない3つの理由

「うちはAIツールなんて使っていないから関係ない」と思われるかもしれません。しかし、今回の事件が示す教訓は、業種・規模を問わずすべての企業に当てはまります。

1. 「設定ミス」はどの企業でも起きる

Anthropic社は数千億円規模のAI企業ですが、設定ファイル1行の漏れを防げませんでした。自社のWebサイトやクラウドストレージの公開設定は大丈夫でしょうか。実際、中小企業でもGoogleドライブやDropboxの共有設定ミスで顧客情報が漏洩する事例が増えています。

2. サプライチェーン攻撃は「取引先経由」で中小企業に届く

今回のaxios攻撃のように、信頼しているサービスやツールが攻撃の入口になります。自社が直接狙われなくても、利用しているサービス経由で被害を受けるリスクがあります。

3. 被害が出てからでは遅い

個人情報保護法では、情報漏洩が発生した場合の報告義務があります。対応コストは中小企業にとって経営を揺るがしかねません。事前の対策が最もコストパフォーマンスの高い投資です。

今すぐ確認すべきセキュリティ対策チェックリスト

今回の事件を機に、自社のセキュリティ体制を見直しましょう。以下は中小企業が最低限確認すべき項目です。

  • □ 自社Webサイトにデバッグ情報・設定ファイルが公開されていないか
  • □ クラウドストレージ(Google Drive、Dropbox等)の共有設定は適切か
  • □ 業務で使うソフトウェア・サービスを定期的にアップデートしているか
  • □ ウイルス対策ソフトは最新版を導入しているか
  • □ 従業員へのセキュリティ教育(標的型メール訓練等)を実施しているか
  • □ データのバックアップを定期的に取得しているか
  • □ 情報漏洩が発生した場合の対応手順を策定しているか

IPAが提供する「SECURITY ACTION」制度では、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する仕組みがあります。「★一つ星」「★★二つ星」の2段階があり、後述する補助金の申請要件にもなっています。

セキュリティ対策に使える補助金・助成金

セキュリティ対策の重要性はわかっていても、コストが課題という声は多いでしょう。以下の補助金・助成金を活用すれば、負担を大幅に軽減できます。

制度名 補助上限 補助率 締切
デジタル化・AI導入補助金2026
(セキュリティ対策推進枠)		 150万円 1/2〜2/3 2026年5月12日
サイバーセキュリティ対策促進助成金
(東京都)		 1,500万円 1/2 次回公募待ち

デジタル化・AI導入補助金2026(セキュリティ対策推進枠)

IPAが公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されたITツールの導入費用およびサービス利用料(最大2年分)が対象です。補助額は5万円〜150万円、小規模事業者は補助率2/3。2026年3月30日より申請受付開始で、1次締切は2026年5月12日です。

サイバーセキュリティ対策促進助成金(東京都)

都内の中小企業が対象で、UTM(統合脅威管理)、ネットワーク脅威対策、暗号化製品などの導入費用を最大1,500万円・補助率1/2で助成します。IPA「SECURITY ACTION★★二つ星」の宣言が必要です。直近の公募は終了していますが、次回公募に向けて準備を進めておくことをおすすめします。

いずれの補助金も、IPA「SECURITY ACTION」の宣言が申請要件または加点要素となっています。まだ宣言していない場合は、まずSECURITY ACTIONへの登録から始めましょう。

経営者が今日から始めるアクション

  • ✓ 自社のWebサイト・クラウドストレージの公開設定を今週中に確認する
  • ✓ 業務ソフト・OSのアップデートを最新状態にする
  • ✓ IPA「SECURITY ACTION」に自己宣言を登録する(無料)
  • ✓ デジタル化・AI導入補助金(セキュリティ対策推進枠)の申請を検討する(締切:5月12日)
  • ✓ 東京都内の企業は、サイバーセキュリティ対策促進助成金の次回公募に備える
  • ✓ 従業員向けのセキュリティ研修・標的型メール訓練を計画する

関連コンテンツ

補助金に採択されるコツ

補助金の審査で高評価を得るためのポイントを解説。事業計画書の書き方や審査基準の読み解き方を紹介します。

詳しく見る →

研修・人材育成で使える補助金・助成金

人材育成・研修費用で使える補助金・助成金|従業員教育・スキルアップ支援について詳しく解説します。

詳しく見る →

事業計画書の書き方|補助金・融資で通るコツ

補助金申請や融資審査で求められる事業計画書の書き方を解説。日本公庫の創業計画書フォーマットに沿って、各項目の記入例とシミュレーターの活用法を紹介します。

詳しく見る →

補助金の申請代行|費用の相場と選び方

補助金・助成金の申請代行サービス|費用相場・選び方・メリット・デメリット完全ガイドについて詳しく解説します。

詳しく見る →

この記事を書いた人

松田信介
松田 信介 Shinsuke Matsuda

X-HACK Inc. 代表取締役 / PARKLoT CTO

Microsoft for Startups Founders Hub 採択

X-HACK Inc. 代表取締役。システムコンサルタントとして中小企業の基幹システム構築・業務設計に携わったのち、自ら起業。小規模ビジネスの立ち上げから黒字化までを複数回経験し、採用・資金調達・補助金申請の実務にも精通。「補助金さがすAI」の開発・運営を通じて、経営者が本当に必要とする情報を現場目線で発信しています。

LinkedIn

あなたに合った補助金を探してみましょう

補助金を検索する

無料会員登録でAI検索が使えます

無料会員登録

この記事をシェア

X(旧Twitter) LINE Facebook