Claude Code流出、Anthropicが認めた代償

Claude Codeのソースコード流出から一夜。Anthropicは「人為ミス」と認めたが、セキュリティ研究者との見解は食い違う。同日にはnpmを揺るがすサプライチェーン攻撃も発覚していた。

Anthropicが公式に認めた「人為ミス」

Claude Codeのソースコード全量がnpmレジストリ経由で流出した件について、Anthropicが複数の大手メディアに対し公式声明を出している。CNBC、The Register、Fortune、BleepingComputerのいずれにもほぼ同一の文面が提供された。

「本日、Claude Codeのリリースに一部の内部ソースコードが含まれていた。顧客の機密データや認証情報の関与・流出はない。これはリリースパッケージングにおける人為的ミスであり、セキュリティ侵害ではない。再発防止策を展開中だ」

声明のポイントは3つある。第一に、事実を認めたこと。前回の記事執筆時点ではAnthropicは沈黙していたが、CNBCやBloombergまで報じたことで、対応せざるを得なくなったと見るのが自然だ。

第二に、「セキュリティ侵害ではない」という線引き。これは「外部からの攻撃ではなく、内部の手続きミスだ」という説明であり、技術的には正しい。だが約1,900ファイル・51万行超のTypeScriptが数時間にわたり公開されていた事実の重さは変わらない。

第三に、「再発防止策を展開中」。しかし2025年2月にも同一の原因（ソースマップの誤同梱）で流出が発生していた。同じ対策を2度語っていることになる。

「安全策はバイパスされていない」という食い違い

声明の中で注目すべきは、Fortuneの取材に対するAnthropicの追加コメントだ。LayerXセキュリティのAIセキュリティリサーチャー、ロイ・パズ氏は「通常のリリース安全策がバイパスされたように見える」と指摘した。

パズ氏はFortuneに対し、「通常、大企業では本番環境に到達する前に厳格なプロセスと複数のチェックがある。金庫を開けるのに複数の鍵が必要なようなものだ。Anthropicではそのプロセスが整っていなかったように見える」と述べている。

これに対しAnthropicは「通常のリリース安全策はバイパスされていない」と反論した。両者の主張は真っ向から食い違う。

Anthropic leaks its own AI coding tool’s source code in second major security breach | Fortune

Hundreds of thousands of lines of code were exposed, giving researchers insight into upcoming models and internal architecture.

FortuneBeatrice Nolan

もし安全策が正しく機能していたのなら、なぜソースマップが本番パッケージに含まれたのか。「プロセスは正常だったが結果は異常」という説明は、プロセス自体に欠陥がある可能性を示唆する。あるいは、そもそもソースマップの除外が安全策の対象に含まれていなかったのか。声明は事実を認めたが、最も重要な「なぜ」には答えていない。

同日に発生したaxiosサプライチェーン攻撃

ソースコード流出と同じ3月31日、npmエコシステム上でもう1つの重大なセキュリティ事案が発覚している。JavaScriptで最も広く使われるHTTPクライアントライブラリ「axios」が、サプライチェーン攻撃の標的になっていたのだ。

週間ダウンロード数が1億回を超えるこのライブラリのメインメンテナアカウントが乗っ取られ、悪意あるバージョンが公開されていた。

北朝鮮関連アクターの犯行

乗っ取られたアカウントから公開されたバージョン1.14.1および0.30.4には、「plain-crypto-js」という偽の依存関係が注入されている。インストール時にpostinstallフックを通じてクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）が自動展開される仕組みだ。

Google脅威分析チーム（GTIG）はこの攻撃を、2018年から活動する北朝鮮関連の脅威アクター「UNC1069」に帰属させた。macOS、Windows、Linuxのすべてに対応するRATで、C2サーバーとの通信後に自身の痕跡を消去する高度な設計が確認されている。

North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack | Google Cloud Blog

A North Korea-nexus threat actor targeted the popular axios NPM package in a massive supply chain attack.

Google Cloud

悪意あるaxiosバージョンが公開されていた時間帯は、3月31日 UTC 00:21〜03:29（日本時間 09:21〜12:29）。この間にnpm経由でClaude Codeをインストールまたはアップデートした開発者は、依存関係の監査と全認証情報のローテーションが推奨される。

Claude Codeとの接点

2つの事案に直接的な関連はないが、偶然の重なりは開発者にとって最悪のタイミングだった。Claude Codeはaxiosを依存関係として使用しており、この攻撃時間帯にnpm経由でインストールした場合、ソースコード流出とは無関係に、RATに感染するリスクがあった。

開発者のAlex Kim氏は自身の分析ブログで、Claude Codeがaxiosを依存関係に含んでいること自体が「タイミング的に皮肉だ」と指摘している。Anthropicは今後、npmよりもネイティブインストーラーの使用を推奨する方針を示している。

流出コードを「再発明」する動き

AnthropicはGitHub上に拡散したミラーリポジトリに対してDMCA削除通知を発行し、法的対応を開始した。しかしインターネットのスピードの前では、法務の対応はどうしても後手に回る。

ある中国メディアの報道によれば、最も多くフォークされたリポジトリは深夜のうちに6万件以上のフォークを集めていた。

しかし、削除通知に対する開発者コミュニティの反応は予想外だった。GitHubリポジトリの作成者は午前4時に起き、流出したTypeScriptコードを直接ホストする代わりに、RustとPythonで「クリーンルーム実装」を公開した。流出コードから得た知見をベースに、ゼロから書き直すことでDMCAの適用範囲外に出ようという試みだ。

加えて、流出を悪用したタイポスクワッティング攻撃も確認されている。「pacifier136」というユーザーが、Claude Codeの内部パッケージ名を模倣した偽パッケージをnpmに公開した。セキュリティリサーチャーのクレマン・デュマ氏はXで「現時点では空のスタブだが、これが攻撃の常套手段だ。名前を先に押さえ、ダウンロードを待ち、悪意あるアップデートを全員に配信する」と警告している。

声明が答えなかった問い

Anthropicの声明は必要なものだった。だが「セキュリティ侵害ではない」という分類は、被害の性質を正確に伝えているとは言い難い。

流出したのは顧客データではなく知的財産だ。44のフィーチャーフラグ、未発表モデルのコードネーム、エージェントアーキテクチャの設計思想。これらはリファクタリングで表面的に変更できても、競合他社がすでに分析を終えた戦略的判断は巻き戻せない。

1週間で2度の情報漏洩。13か月前と同じ原因の再発。「安全策はバイパスされていない」と言い切るAnthropicと、「プロセスが機能していないように見える」と指摘する外部研究者。この溝が埋まらない限り、再発防止の説得力は薄い。

「なぜ.npmignoreに*.mapが書かれていなかったのか」──この1行の不在に対する答えを、Anthropicはまだ出していない。

参照元

• CNBC - Anthropic leaks part of Claude Code's internal source code

他参照

• Fortune - Anthropic leaks its own AI coding tool's source code in second major security breach