Claude情報漏洩の全容｜2つのインシデントと企業が今すぐやるべき対策【2026年最新】

2026年3月、Claude（クロード）を開発するAnthropicで2件の情報漏洩が相次いで発生しました。3月26日にはCMS設定ミスで次世代モデル「Mythos」の存在が明るみに出て、わずか5日後の3月31日にはClaude Codeのソースコードが丸ごとインターネット上に公開される事態に。「AI企業のセキュリティは大丈夫なのか」という不安が広がっています。この記事では、2つのインシデントの技術的な経緯を時系列で解説し、企業のAI担当者が今すぐ取るべき具体的な対策をまとめます。

何が起きたのか――5日間で2件の漏洩が意味すること

AI業界で「最も安全性に慎重な企業」と評されてきたAnthropicが、わずか5日間で2件の情報漏洩を起こしました。どちらも外部からのハッキングではなく、社内の設定ミスによるものです。家のドアに鍵をかけ忘れたようなもので、泥棒に入られたわけではないけれど、「鍵の管理がずさんだった」という事実は残ります。

タイミングも注目に値します。2026年3月はAI業界全体が激しく動いていた時期でした。OpenAIがGPT-5.4をリリースしGPT-5.5の発表も間近に迫る中、GoogleはGemini 3.1 Proで推論性能を倍増させていました。各社がしのぎを削る中で、Anthropicだけが「自社の設定ミスで未発表のカードを見せてしまう」という失態を演じたのです。Axiosをはじめとする米主要メディアが一斉に報じ、AI企業のセキュリティ管理体制に対する疑問が業界全体に波及しました。

1件目は3月26日、コンテンツ管理システム（CMS）の設定ミスで未発表の次世代AIモデル「Mythos」の詳細が流出。2件目は3月31日、Claude Codeのnpmパッケージにソースコードが丸ごと含まれてしまい、約1,900ファイル・512,000行のTypeScriptコードが誰でもダウンロードできる状態になりました。

日本国内のAI導入企業にとっても、これは無視できないニュースです。日本政府が「AI活用推進」を掲げ、多くの企業がClaude APIやClaude Codeを業務に組み込み始めているタイミングで、ベンダー側のセキュリティ管理に疑問符がつく事態が起きたからです。特に金融・医療・製造業など規制の厳しい業界では、ベンダーのインシデント履歴がそのまま導入審査の評価項目になります。

重要なのは、ユーザーの会話データやAPIキーは流出していないという点です。流出したのはAnthropic社内の機密情報であり、あなたがClaudeに入力した情報が外部に漏れたわけではありません。しかし、「AIを提供する企業自身のセキュリティ管理は大丈夫なのか」という根本的な問いを突きつける事件であることは間違いありません。

インシデント1：CMS設定ミスによるMythos流出（3/26）

何が起きたのか

2026年3月26日、米メディアFortuneが独占報道したのが始まりでした。Anthropicのコンテンツ管理システム（CMS）に設定ミスがあり、約3,000件の未公開デジタルアセット（画像、PDF、音声ファイル、ブログ下書き）が、誰でもアクセスできる状態で公開されていたのです。

これは、社内の書類棚に鍵をかけたつもりが、実は鍵が開いたまま廊下に置いてあったようなものです。CMS側のデフォルト設定が「公開」になっており、明示的に「非公開」に変更しない限りインターネット上から検索・閲覧できる状態でした。

流出した約3,000件のアセットの中身は多岐にわたります。まず、未発表ブログ記事の下書きが複数含まれており、Anthropicが今後どのようなメッセージで製品を発表しようとしていたかが丸わかりの状態でした。次に、Anthropicが限定的に開催していたCEOサミット（招待制のイベント）に関するプレゼンテーション資料や内部向けのブリーフィング文書も含まれていました。これらは通常、参加者にNDA（秘密保持契約）を結ばせた上で共有されるレベルの情報です。さらに、従業員向けの内部文書（社内方針やプロジェクト計画に関するもの）、マーケティング素材の未公開バージョン、音声ファイルなども確認されています。

つまり、単なる「画像が数枚漏れた」というレベルではなく、Anthropicの事業戦略・製品ロードマップ・組織の内部オペレーションに関する情報が広範囲に公開されていたのです。競合他社のOpenAIやGoogleにとっては、いわば相手の手札を覗き見できる状況が一時的に生まれていたことになります。

「Mythos」の正体

流出した下書きの中で最も注目を集めたのが、未発表の次世代AIモデル「Claude Mythos」（内部コード名: Capybara）の詳細です。Anthropicは通常、新モデルの発表を綿密に計画されたマーケティングキャンペーンと同時に行います。それが正式発表前の段階で競合他社やメディアに手の内が明かされてしまったことは、製品戦略上も大きな痛手です。Anthropicの内部文書によると：

• 「これまでに構築した中で最も高性能なモデル」で、性能の「段階的飛躍（step change）」を実現
• 現行のOpusモデルよりも大規模かつ高知能
• ソフトウェアコーディング、学術推論、サイバーセキュリティのテストで「劇的に高いスコア」を記録
• 「サイバー能力において他のいかなるAIモデルも大きく凌駕している」

「段階的飛躍（step change）」という表現は、AI業界では非常に重い意味を持ちます。通常のモデルアップデートは「漸進的改善（incremental improvement）」と表現されますが、「step change」は既存モデルとは質的に異なるレベルの能力を指します。たとえるなら、電卓が関数電卓になるのが漸進的改善、電卓がスマートフォンになるのがstep changeです。Anthropicの内部文書がこの表現を使っていたということは、Mythosが単なるOpusの後継ではなく、根本的に新しい能力層に到達している可能性を示唆しています。

特に衝撃的だったのは、Anthropic自身が「前例のないサイバーセキュリティリスク」を持つと記述していた点です。これは単に「性能が高い」という意味ではありません。Mythosがサイバーセキュリティのテストで他のどのAIモデルも大きく凌駕しているということは、攻撃側にも防御側にも使える強力なツールになり得るということです。ソフトウェアの脆弱性を自動的に発見し、エクスプロイトコードを生成できる能力を持つAIが広く普及した場合、従来のセキュリティ対策が根本的に見直しを迫られる可能性があります。Anthropicはその危険性を認識していたからこそ、「脆弱性を悪用できるモデルの波が来る」ことを懸念し、防御側に先手を与えるための慎重なロールアウトを計画していたことが明らかになりました。

皮肉なことに、そのモデルの存在自体が、自社のセキュリティ設定ミスで外部に漏れてしまったわけです。「AIの安全な展開」を最重要課題として掲げるAnthropicが、自社の情報管理という基本的なオペレーションでつまずいたのは、業界全体にとって重要な警鐘になっています。

インシデント2：Claude Codeソースコード全量流出（3/31）

ソースマップとは何か

まず技術的な背景を説明します。JavaScriptやTypeScriptで開発されたソフトウェアは、配布時に「ミニファイ（圧縮）」して人間が読めないようにするのが一般的です。これは本の原稿を暗号化して配送するようなものです。たとえば、あなたが小説を書いたとします。出版する際には、ページ番号を消し、改行をなくし、スペースを詰めて、変数名もすべて「a」「b」「c」に置き換えるようなイメージです。これが「ミニファイ」で、配送中に中身を読まれにくくすると同時に、ファイルサイズも小さくなります。

ところが「ソースマップ（.mapファイル）」があれば、この圧縮処理を完全に元に戻せます。ソースマップとは、いわば「この暗号化された1行目は、元のコードの324行目に対応しています」という対照表（マッピング）のことです。開発者がバグを修正するときに、圧縮されたコードではなく元のコードを見ながらデバッグできるように存在するファイルですが、これを外部に公開してしまうと、ミニファイの意味がまったくなくなってしまいます。

2026年3月31日、AnthropicがClaude Codeのバージョン2.1.88をnpm（JavaScriptパッケージの配布サービス）に公開した際、この「暗号の解読鍵」であるソースマップファイル（59.8MB）をパッケージに含めてしまいました。通常のClaude Codeパッケージはミニファイ済みのJSファイルだけなので数MBで済むところ、ソースマップを含んだv2.1.88のパッケージサイズは明らかに異常に大きくなっていました。にもかかわらず、パッケージサイズの異常を検知するチェックがCI（継続的インテグレーション）パイプラインに組み込まれていなかったため、そのまま公開に至ったのです。

流出の発見と拡散

セキュリティ研究者のChaofan Shou氏がこの問題を発見し、3月31日にX（Twitter）上で公開しました。Shou氏は、Claude Codeのv2.1.88がリリースされた直後にパッケージの中身を確認したところ、通常は含まれないはずの巨大な.mapファイルの存在に気づきました。投稿は2,800万回以上閲覧され、数時間で技術コミュニティ全体に拡散。ソースマップファイルを解析すると、Anthropicのクラウドストレージ上にホストされたzipアーカイブへの直リンクが判明し、そこから約1,900ファイル・512,000行のTypeScriptソースコードが完全にダウンロード可能な状態になっていることが明らかになりました。

注目すべきは、VentureBeatの報道によると、ソースマップ内には単にソースコードだけでなく、内部のクラウドストレージURLも含まれていた点です。このURLをたどることで、npmパッケージに直接含まれていたコード以上の情報、つまりAnthropicのインフラ構成の一部まで推測可能な状態になっていました。npmパッケージという「入口」から芋づる式に情報が引き出される構造だったのです。

流出したコードはGitHub上にミラーリングされ、瞬く間に11万以上のスターを獲得。GitHub上で最も注目を集めたリポジトリの一つとなりました。開発者コミュニティでは「Anthropicがどのようにプロンプトエンジニアリングを実装しているか」「MCPサーバーとの通信プロトコルがどうなっているか」など、ソースコードの技術的な分析が一斉に始まりました。

その後の展開はさらに注目に値します。流出コードを基にしたオープンソースの書き直しプロジェクト「claw-code」が登場し、GitHub史上最速で10万スターを達成するという皮肉な展開を見せました。claw-codeは流出コードそのものではなく、その設計思想やアーキテクチャを参考にゼロから書き直したものですが、機能的にはClaude Codeとほぼ同等の動作を再現しています。

Anthropicはこの事態にDMCA（デジタルミレニアム著作権法）に基づく削除申請で対応しましたが、ここで大きな問題が発生しました。本来は流出ソースコードを直接含むリポジトリのみを対象とすべきところ、申請の範囲が広すぎたため数千のGitHubリポジトリが一時的に削除されてしまったのです。その中には、流出コードとは無関係なプロジェクトも含まれていました。この「巻き添え削除」はSNSで大きな批判を浴び、Anthropicは後日、対象を流出ソースコードを含む1つのリポジトリと96のフォークに限定して、それ以外は復活させる対応を取りました。

流出コードから判明した未公開機能

流出したソースコードには、まだ発表されていない複数の機能が含まれていました。これらはAnthropicが今後数ヶ月かけてリリースする予定だったと見られる機能群で、Claude Codeの進化の方向性を明確に示しています。

KAIROS（カイロス）：Claude Codeを「受動的なツール」から「能動的なパートナー」に進化させる次世代プロジェクトです。現在のClaude Codeは、ユーザーが指示を出して初めて動き出す「待ちの姿勢」のツールです。KAIROSが実装されると、ファイル変更やコンパイルエラーをリアルタイムで自動検知し、ユーザーの指示を待たずに「このエラーは○○が原因なので、△△に修正しますか？」と提案・実行する設計になります。これは料理中にレシピを聞かないとボーッとしているアシスタントが、食材の準備や調理の段取りを先回りして提案してくれるようになるイメージです。さらに、24時間ごとに過去のセッション履歴から有用なパターンを自動抽出する「KAIROS_DREAM」機能も含まれていました。あなたが「同じテストコマンドを毎朝手動で実行している」というパターンを検知したら、それを自動化する提案を翌日の作業開始時に出してくる、といった動作が想定されます。Claude Codeを日常的に使っている開発者にとっては、作業効率が大きく変わる可能性のある機能です。

ULTRAPLAN：30分以上かかる複雑なソフトウェア設計タスクを、ローカルマシンではなくクラウド上のコンテナ環境でOpus 4.6を使って処理する高度な機能拡張です。現在のClaude Codeは基本的にローカルのターミナルで動作しますが、ULTRAPLANが実装されると、大規模なリファクタリングやアーキテクチャ設計のような重い作業をクラウドにオフロードして、ローカルマシンのリソースを消費せずに進行できるようになります。さらに、コードの中に音声入出力やWebブラウザ統合に関する定義が確認されており、将来的にはキーボードで指示を打つだけでなく、音声で「この関数をリファクタリングして」と指示し、ブラウザ上のドキュメントを直接参照しながらコードを書く、というマルチモーダルな作業フローが視野に入っていることがわかります。

Undercover Mode：Anthropic社員が公開リポジトリにコミットする際に、AI使用の痕跡（Claude Codeの署名や内部モデルコード名など）を自動的に除去するセーフガード機構です。社内のプロジェクトコード名やSlackチャンネル名といった内部情報が外部に漏れないよう、出力をフィルタリングする仕組みも含まれています。企業がAIツールを業務で活用する際の「社内情報の意図しない外部流出」というリスクに対する回答として開発されていたと考えられます。しかし、この情報漏洩防止機能の存在自体が今回のソースコード流出で露呈するという、何とも皮肉な結果になりました。

発見された2つの重大な脆弱性（CVE）

ソースコード流出以前に、セキュリティ企業Check Point Researchが2つの重大な脆弱性を発見・報告しています。CVE-2025-59536は2025年7月に報告され10月に公開済みですが、今回の流出事件でClaude Codeのセキュリティに改めて注目が集まりました。

CVE-2025-59536（リモートコード実行 / RCE）：悪意のある.mcp.json設定ファイルを含むリポジトリをクローンしてClaude Codeを起動すると、ユーザーの確認ダイアログを経ずにシェルコマンドが実行される脆弱性です。攻撃シナリオを具体的に説明すると、攻撃者がGitHub上に「便利なツール」を装ったリポジトリを公開し、その中に細工された.mcp.jsonを忍ばせておきます。開発者がそのリポジトリをクローンしてClaude Codeで開いた瞬間、バックグラウンドで任意のコマンド（たとえばマルウェアのダウンロードや認証情報の窃取）が実行される危険がありました。これは「信頼できるツールが、信頼できないデータを処理してしまう」という、サプライチェーン攻撃の典型的なパターンです。

CVE-2026-21852（APIキー流出）：.claude/settings.jsonに記述されたANTHROPIC_BASE_URL環境変数により、APIキーが平文で攻撃者のサーバーに送信される脆弱性です。こちらも攻撃シナリオは同様で、悪意あるリポジトリに.claude/settings.jsonを配置しておき、ANTHROPIC_BASE_URLを攻撃者のサーバーに向けておくだけです。ユーザーが信頼確認ダイアログを見る前にAPIキーが外部に送られてしまうため、気づかないうちにAPIキーを盗まれ、不正利用（高額なAPI利用料の発生など）につながる恐れがありました。

いずれもAnthropicが修正済みで、Claude Codeを最新版（少なくともv2.1.90以上）にアップデートすれば対策されています。なお、ソースコード流出後にはパーミッションバイパスの脆弱性（CC-643）も発見されv2.1.90で修正されているため、古いバージョンのまま使い続けることは避けてください。

Anthropicの公式対応とその評価

公式声明の内容

Anthropicは両インシデントに対して迅速に声明を出しました。1件目のCMS漏洩については発覚から数時間以内に、2件目のnpm漏洩についても同日中に公式コメントを発表しています。要点は以下の3つです：

1. 「顧客の機密データや認証情報は一切関与・流出していない」
2. 「リリースパッケージングプロセスにおける人的ミスであり、セキュリティ侵害ではない」
3. 「モデルの重み、安全性パイプライン、ユーザーデータは流出していない」

特に3点目の「モデルの重み（weights）は流出していない」という点は技術的に重要です。AIモデルの重みとは、モデルが学習した知識そのものに相当するパラメータ群であり、これが流出するとモデルの完全な複製が可能になります。今回流出したのはClaude Codeという「ツール」のソースコードであり、Claudeモデルそのものの複製につながる情報ではありません。

Claude Codeの責任者であるBoris Cherny氏は、問題のnpmバージョン（v2.1.88）を公開から数時間で削除し、修正版のv2.1.89をリリースしました。また、DMCA削除申請で数千のGitHubリポジトリを一時的に削除したことについて「意図したものではなかった」と説明し、対象を流出ソースコードを含む1つのリポジトリと96のフォークに限定して撤回しました。

対応の評価

良かった点としては、声明の速度（問題発覚から数時間以内に公式コメントを発表）、影響範囲の明確な説明（「顧客データは無事」と断言）、問題のnpmバージョンの迅速な削除（v2.1.88は公開から数時間で削除、v2.1.89で修正パッチをリリース）が挙げられます。インシデント対応のスピード自体は業界水準を上回っていたと評価できます。

一方で懸念が残る点もあります。最も大きな批判を浴びたのは、DMCA削除申請の「やり過ぎ」問題です。前述のとおり、関係のないリポジトリまで巻き添えで削除してしまったことに対し、開発者コミュニティからは強い反発がありました。「他社のデータでAIを訓練しておきながら、自社のコードが漏れたときだけ著作権を主張するのか」という知的財産の二重基準（IPヒポクリシー）批判は、SNSで大きなうねりとなりました。AIモデルの学習データに著作物が含まれている問題は業界全体の課題ですが、その当事者であるAI企業がDMCAを武器として使ったことで、この矛盾が一気に可視化されたのです。

また、2025年2月にも類似のnpmインシデントが発生しており、「なぜ同じミスが繰り返されたのか」という根本的な疑問が残ります。1度目のインシデント後にリリースプロセスの見直しが行われたはずですが、わずか1年強で同種の問題が再発したということは、対策が不十分だったか、対策をバイパスする運用が常態化していたかのどちらかです。この点についてAnthropicは「通常のリリースプロセスをショートカットした」と認めていますが、なぜショートカットが可能な状態だったのかについての詳しい説明はまだ公開されていません。

2つの漏洩を技術的に読み解く

共通する原因：ヒューマンエラーとデフォルト設定

2つのインシデントは一見異なりますが、根本原因には共通パターンがあります。

CMS側では「デジタルアセットがデフォルトで公開設定」になっており、非公開にするには明示的な操作が必要でした。npm側では、ソースマップファイルを.npmignoreに追加し忘れ、通常のリリースプロセスを「ショートカット（バイパス）」したことが原因です。

どちらも、「安全な状態」をデフォルトにしていなかったという点で共通しています。セキュリティの世界では「フェイルセーフ」（失敗しても安全側に倒れる設計）や「セキュア・バイ・デフォルト」（初期状態が最も安全な設計）が基本原則ですが、この2件はいずれもその原則から外れていました。日常生活にたとえるなら、スマートフォンの画面ロックが「初期設定でOFF」になっているようなものです。多くの人は設定を変えずにそのまま使うため、デフォルトが「安全」でないと大量のユーザーがリスクにさらされます。

さらに注目すべきは、2件の間にあるのがわずか5日という短い期間だった点です。1件目のCMS漏洩の対応に追われている最中に2件目のnpm漏洩が発生したことは、Anthropicの組織としてのセキュリティ成熟度に疑問を投げかけます。急成長するスタートアップでは、プロダクト開発のスピードとセキュリティ管理のバランスが難しい課題です。Anthropicは2026年2月のSeries Gで300億ドルを調達し企業評価額が3,800億ドルに達するなど、従業員数も急速に拡大しています。組織の成長速度にセキュリティ体制の整備が追いついていなかった可能性があります。

防げたはずの仕組み

いずれのインシデントも、現在広く使われている技術的な仕組みがあれば防げた可能性が高いです。ここでは具体的にどのような対策が有効だったかを解説します：

• CMS側：新規アセットのデフォルト設定を「非公開」にする（いわゆる「セキュア・バイ・デフォルト」の原則）。さらに、公開状態のアセットを定期的に自動スキャンし、意図しない公開がないか監査するスクリプトをcronジョブで回す。AWS S3やCloudflare R2などのオブジェクトストレージであれば、バケットポリシーでパブリックアクセスをデフォルトでブロックし、明示的なホワイトリスト方式で公開対象を管理するのが一般的です。また、CDNのキャッシュ制御ヘッダー（Cache-Control: private）を未公開アセットに適用することで、万が一URLが漏れても検索エンジンにインデックスされるリスクを低減できます
• npm側：CIパイプラインに.mapファイルの存在チェックを組み込む。具体的には、npm pack --dry-runコマンドで公開前にパッケージの内容を一覧表示し、想定外のファイルが含まれていないか自動検証するステップを追加するだけで防げました。パッケージサイズの急増を検知するアラートも有効で、たとえば「前回リリースから50%以上のサイズ増加があればリリースをブロックする」というルールを設定していれば、59.8MBという異常なサイズの段階で止められたはずです。また、.npmignoreではなくpackage.jsonのfilesフィールドを使うホワイトリスト方式にすることで、「含めるべきファイルだけを明示的に指定する」安全な運用に切り替えられます
• 共通：リリース前の自動セキュリティスキャン（SAST/DAST）の導入、変更のダブルチェック体制（最低2名のレビュー必須化）の強化。加えて、「リリースプロセスのバイパス」を物理的に不可能にする技術的強制（たとえばCIパイプラインを経由しないデプロイを禁止するブランチ保護ルール）が最も効果的です。人間の注意力に依存する仕組みは、どれほど厳格なルールを設けても必ず抜け穴が生じます

企業が今すぐやるべき5つの対策

今回のインシデントを「対岸の火事」で終わらせないために、企業のAI担当者が今すぐ実施すべき具体策を5つにまとめます。優先度の高い順に並べていますので、上から順番に対応してください。特に①と②は、Claude Codeを利用している企業では即日対応が必要です。より詳しいチェックリストはAIセキュリティ対策チェックリストもあわせてご覧ください。

① Claude Codeを最新版（v2.1.90以上）にアップデート

CVE-2025-59536（リモートコード実行）とCVE-2026-21852（APIキー流出）の両方が修正されたバージョンに更新してください。ターミナルでclaude --versionを実行し、2.1.90未満であれば即座にアップデートが必要です。アップデート方法は、npmでインストールした場合はnpm update -g @anthropic-ai/claude-code、ネイティブインストーラーの場合はClaude Code内で/updateコマンドを実行します。Anthropicはnpmではなくネイティブインストーラーの使用を推奨しています。チーム全体で利用している場合は、各メンバーのバージョンを一括で確認するスクリプトを用意しておくと安心です。

② APIキーの棚卸しとローテーション

特にCVE-2026-21852の影響を考慮し、Anthropic APIキーを新しいものに更新（ローテーション）してください。Anthropicのコンソールにログインし、Settings > API Keysから現在のキーを確認できます。使用していないキーの無効化、キーの権限範囲の最小化、支払い上限（Usage Limits）の設定なども同時に確認しましょう。キーをローテーションする際は、環境変数やシークレットマネージャー（AWS Secrets Manager、HashiCorp Vault等）に保存されている古いキーの差し替えも忘れずに実施してください。他のAIサービス（OpenAI、Google Cloud AI等）のAPIキーについても、この機会に棚卸しすることを推奨します。

③ ベンダーリスク評価の再実施

AIベンダーのリスク評価項目に「過去のインシデント履歴と対応実績」を追加してください。Anthropicは2025年2月にも類似のnpmインシデントを起こしており、再発防止策の実効性を評価することが重要です。生成AIセキュリティ比較も参考に、複数ベンダーを横断的に評価しましょう。具体的な評価項目としては、過去のCVE件数と修正までの平均日数、インシデント発生時の初動対応速度、SOC 2やISO 27001の認証取得状況、データ処理に関する契約条項（DPA）の内容、再発防止策の公開有無などが挙げられます。

④ 社内AI利用ガイドラインの見直し

「新規にクローンしたリポジトリ内でClaude Codeを即座に起動しない」というルールの追加を検討してください。CVE-2025-59536は悪意あるリポジトリを開くだけでコードが実行される脆弱性だったため、信頼できないリポジトリでのAIツール利用には人間による事前確認を義務付けるべきです。具体的には、新規リポジトリをクローンした際に.mcp.jsonや.claude/settings.jsonなどの設定ファイルの内容を目視確認するフローを追加しましょう。シャドーAI対策ガイドも参考に、社内のAIツール利用状況を可視化し、承認されていないAIツールの利用がないかも同時に確認してください。

⑤ インシデント監視体制の構築

AIベンダーのセキュリティインシデント情報を定期的にモニタリングする体制を構築しましょう。具体的には、NVD（National Vulnerability Database）でのCVE検索（「anthropic」「claude」「openai」などのキーワードでアラート設定）、ベンダーのセキュリティブログやステータスページの購読（Anthropicの場合はstatus.anthropic.com）、The Hacker NewsやBleepingComputerなどの業界セキュリティニュースレターの定期確認が最低限必要です。今回のように情報が英語圏で先行する場合に備え、英語ソースも監視対象に含めてください。週次で15分程度のセキュリティニュースレビューの時間を確保するだけでも、対応の初動が大きく変わります。

Claude推しの筆者として伝えたいこと

当ブログはClaude関連の記事を多数公開しており、Claude推しのポジションであることは隠しません。だからこそ、今回のインシデントについて正直に書きます。

まず、事実は事実として認める必要があります。5日間で2件のセキュリティインシデントを起こしたのは、「AI安全性のリーダー」を自認する企業として恥ずかしい失態です。特にnpmの件は2025年2月にも類似事例があり、再発防止ができていなかったことが露呈しました。Anthropicの共同創業者であるDario Amodei CEOは「AIの安全性は最優先事項」と繰り返し発言していますが、今回の件は「AIモデルの安全性」と「組織のオペレーショナルセキュリティ」が別の課題であることを浮き彫りにしました。

しかし同時に、「プロダクトの安全性」と「社内オペレーションのミス」は分けて考えるべきです。Claudeの会話データが学習に使われない仕組み、データの暗号化、SOC 2認証といったプロダクトレベルのセキュリティ機能は、今回のインシデントで損なわれていません。流出したのはAnthropic社内の情報であり、ユーザーのデータではありません。

これは、銀行の金庫室（＝プロダクトセキュリティ）は堅牢だけど、社員がオフィスの書類を駐車場に置き忘れた（＝オペレーションミス）ようなものです。金庫室が破られたわけではないけれど、「この銀行の管理体制は大丈夫か？」という不安は生じます。特に日本企業は「信頼」を重視する傾向が強く、こうしたインシデントがベンダー選定の判断に大きく影響する場面もあるでしょう。その際は感情的な反応ではなく、「具体的にどのデータが影響を受けたのか」「自社の利用形態でリスクは顕在化するのか」を冷静に分析することが重要です。

もう一つ、長期的な視点で注目すべきことがあります。今回のソースコード流出により、Claude Codeの内部アーキテクチャが業界全体の共有知になったという事実です。KAIROSやULTRAPLANの設計思想、MCPサーバーとの統合方法、セーフガードの実装パターン――これらの情報が公開されたことで、競合ツールの開発が加速する可能性があります。claw-codeの登場はその最初の兆候です。Claudeユーザーにとっては、競合ツールの品質が上がることで選択肢が増えるというメリットもあります。一方で、Anthropicがセキュリティ対策の手の内を見せてしまったことで、今後の脆弱性対策のアプローチを見直す必要が出てくるかもしれません。

結論として、今すぐClaudeの利用を中止する根拠はないと考えます。ただし、「盲目的に信頼する」のではなく、CVE対応のアップデート、APIキーのローテーション、ベンダー評価の定期見直しなど、適切な距離感を保つことが重要です。これはClaudeに限らず、あらゆるAIサービスに対して持つべき姿勢です。今回のインシデントを「信頼を失う出来事」と捉えるか、「より堅牢な体制を築くきっかけ」と捉えるかは、Anthropicの今後の対応と、私たちユーザー側のリスク管理能力にかかっています。

まとめ：事実を見て、冷静に判断する

最後に、今回の2つのインシデントから得られる教訓を整理し、企業のAI担当者が押さえておくべきポイントをまとめます。

起きたこと：Anthropicの社内運用ミスにより、未発表モデル「Mythos」の情報とClaude Codeのソースコード（約1,900ファイル・512,000行）が流出した。ユーザーデータの流出はなく、AIモデルの重み（weights）も無事。

原因：2件とも外部からのハッキングではなく、CMSのデフォルト公開設定とnpmパッケージの.npmignore設定漏れというヒューマンエラー。「安全側をデフォルトにする」という基本原則が守られていなかった。

影響：競合他社がClaude Codeの内部実装を分析できるようになった。オープンソースの代替品（claw-code）が誕生しGitHub史上最速で10万スターを達成。2つの重大な脆弱性（CVE-2025-59536とCVE-2026-21852）が発見・修正された。DMCAの過剰申請による開発者コミュニティとの摩擦も発生。

今やるべきこと：Claude Codeのアップデート（最新版v2.1.90以上）、APIキーのローテーション、ベンダーリスク評価の見直し。パニックになる必要はないが、「何もしない」は最悪の選択肢です。特にClaude Codeを業務で利用している開発チームは、週明けの朝イチでバージョン確認とアップデートを実施してください。

AIツールは急速に進化しており、それを提供する企業もまた成長過程にあります。完璧なベンダーは存在しませんが、インシデントが起きたときに事実を正確に把握し、冷静に対応できる体制を自社に持っているかどうかが、AI時代のリスク管理の分かれ道です。

今後の展開として注目すべきポイントがいくつかあります。まず、Anthropicがこの2件のインシデントを受けてどのような構造的な再発防止策を打ち出すかです。単なる「プロセスの見直し」ではなく、CIパイプラインの技術的強制やリリース権限の分離など、人間の注意力に頼らない仕組みが導入されるかどうかが重要な判断材料になります。次に、流出したソースコードを基にしたオープンソースプロジェクトの発展がAnthropicのビジネスにどう影響するかです。claw-codeの急成長は、AIコーディングツール市場の競争が一気に激化する可能性を示しています。そして最も重要なのは、Mythosの正式リリースとその安全性評価です。流出した内部文書で「前例のないサイバーセキュリティリスク」と記述されていたモデルを、Anthropicがどのような安全策を講じた上でリリースするのか。この対応が、AI業界全体のセーフティ基準に影響を与える可能性があります。

当ブログでは引き続き、Anthropicの公式発表や業界の動向を追跡し、新しい情報が入り次第アップデートしていきます。Claude 2026年3月の最新情報まとめやAIセキュリティ対策チェックリストもあわせて参考にしてください。

よくある質問

Q. Claude情報漏洩で私のデータは流出しましたか？

Anthropicは公式に「顧客の機密データや認証情報は一切流出していない」と声明を出しています。流出したのはAnthropic社内の未公開アセットとClaude Codeのソースコードであり、ユーザーの会話データやAPIキーの流出は確認されていません。ただし、Claude CodeのCVE-2026-21852はAPIキー流出の脆弱性であるため、Claude Code利用者は最新版（v2.1.90以上）へのアップデートとAPIキーのローテーションを推奨します。

Q. Anthropicの情報漏洩は「ハッキング」ですか？

いいえ。2件ともAnthropic社内の設定ミス（ヒューマンエラー）が原因です。外部からの不正アクセスやサイバー攻撃によるものではありません。Anthropic自身も「セキュリティ侵害ではなく人的ミス」と説明しています。ただし、結果として機密情報が公開状態になった事実は変わらず、セキュリティ管理体制の課題を示しています。

Q. Claude Mythosとは何ですか？いつ公開されますか？

Claude Mythosは2026年3月26日のCMS設定ミスで存在が判明したAnthropicの次世代AIモデルです。内部コード名は「Capybara」で、Opus 4.6を大幅に上回る性能を持ち、コーディング・学術推論・サイバーセキュリティのテストで劇的に高いスコアを記録しています。Anthropic自身が「前例のないサイバーセキュリティリスク」を持つと記述していました。正式な発表時期は未定です。

Q. Claudeを企業で使い続けても大丈夫ですか？

今回の流出はAnthropicの社内運用上のミスであり、Claude自体のセキュリティ機能（データ暗号化、学習データ不使用保証、SOC 2認証等）に問題が見つかったわけではありません。ただし、ベンダーのインシデント対応力はセキュリティ評価の重要な指標です。利用継続の判断には、自社のリスク許容度とAnthropicの再発防止策を照らし合わせることを推奨します。

参照元

• Fortune — Anthropic says it’s testing ‘Mythos,’ a powerful new AI model, after data leak reveals its existence
• Fortune — Anthropic leaks its own AI coding tool’s source code in second security lapse
• Axios — Anthropic leaked its own Claude source code
• The Hacker News — Claude Code Source Leaked via npm Packaging Error, Anthropic Confirms
• Check Point Research — RCE and API Token Exfiltration Through Claude Code Project Files
• VentureBeat — Claude Code’s source code appears to have leaked