Claude のコード漏洩が LLM の危機を引き起こし、ハッカーは研究者の ETH を盗み出した
2026 年 4 月 10 日、セキュリティ研究者が LLM エコシステムにおけるシステマティックなサプライチェーンのセキュリティ脆弱性を明らかにしました。428 件のサードパーティ製 API ルーターを対象にした実測では、無料ルーターのうち 20% 超が、悪意のあるコードを積極的に注入していることが確認されました。そのうち 1 台のルーターは、研究者が管理する秘密鍵から ETH を正常に窃取しています。
LLM ルーターのサプライチェーン脆弱性:研究データが明らかにするシステマティックなリスク
ソーシャルメディアの研究者 @Fried_rice は、LLM エージェント・エコシステムで広く採用されているサードパーティの API ルーターは、実質的にクライアントと上流モデルの間に挿入されるアプリケーション層プロキシであり、各データ転送に含まれる JSON ペイロードを平文のまま読み取れると指摘しています。中核となる問題は、現状ではルーター提供者がクライアントと上流モデルの間で暗号化による完全性保護を強制するものが存在せず、そのためルーターがサプライチェーン攻撃の高付加価値な介入ポイントになっていることです。
研究テストでの 4 つの重要な発見
悪意のあるコードの積極的な注入:1 台の有料ルーターおよび 8 台の無料ルーター(20% 超)が、転送中のペイロードへ積極的に悪意のあるコードを注入しています
適応的な回避メカニズム:2 台のルーターが、検知を動的に回避できるトリガーを導入しており、安全審査時に悪意のある挙動を隠せます
資格情報の積極的な探索:17 台のルーターが、研究者が展開した AWS Canary 資格情報に触れており、資格情報の窃取を意図した能動的な試行が存在することを示しています
暗号資産の窃盗:1 台のルーターが、研究者が保持する秘密鍵から ETH を窃取しており、脆弱性が直接的にオンチェーン資産の損失につながり得ることを確認しています
毒入れ実験が脆弱性の規模をさらに明らかに:漏えいした OpenAI API キーが 1 億個の GPT-5.4 token を生成するのに利用されました。構成がより弱い誘導用の餌(デコイ)では、20 億個の課金 token、440 件を超える Codex セッションにまたがる 99 件の資格情報、ならびに自律的に「YOLO モード」で動作していた 401 件のセッションが生じました。
Claude コード漏えい:人為的な不注意からハッカーの悪用までの攻撃チェーン
2026 年 3 月末、Claude コードの NPM リポジトリにある Java のソースマップファイル(Source Map File)が意図せず公開され、大量の開発者がすぐにダウンロードして拡散しました。Anthropic は、内部のソースコードが外部に漏れた事実を認め、その原因は人為的な不注意だとしています。
しかし、ハッカーはこの出来事を迅速に攻撃ベクトルへと転換しました。Zscaler は、攻撃者が「Claude Code Leak」という名称で GitHub に ZIP 圧縮パッケージをばらまき、漏えいしたソースコードをベースにコンパイルされ、企業向けの機能を備え、メッセージ制限のない特殊バージョンの Claude コードが含まれていると主張していることを発見しました。開発者が指示に従って実行すると、端末には窃取型マルウェア Vidar とプロキシサーバーツール GhostSocks がインストールされます。この攻撃チェーンは、開発者の好奇心と、公式の漏えい事件への注目を正確に突いたものであり、典型的なソーシャルエンジニアリングとマルウェアを組み合わせた複合型攻撃です。
防御メカニズム:研究で検証された 3 層のクライアント保護手段
研究チームは同時に、Mine という研究用プロキシを開発し、クライアントに有効な 3 種類の防御メカニズムを検証しました:
故障クローズのゲート戦略(Circuit Breaker Policy Gating):ルーターの異常行為を検知すると自動的に接続を切断し、悪意のある命令の伝達を防止します
応答側の異常スクリーニング(Response-side Anomaly Screening):ルーターから返される応答に対して完全性検証を行い、改ざんされた内容を識別します
追記のみの透明ログ記録(Append-only Transparent Logging):改ざん不可能な操作の監査記録を作成し、事後の追跡と分析に用います
よくある質問
LLM API ルーターとは何であり、それが存在することがサプライチェーンのセキュリティリスクになるのはなぜですか?
LLM API ルーターは、AI アプリケーションと上流モデル提供事業者の間で代理として機能するサードパーティのサービスであり、ツール呼び出しリクエストを複数の上流提供事業者へ振り分けることができます。ルーターは、すべての転送中の JSON ペイロードを平文で読み取れるうえ、現時点ではエンドツーエンドの暗号化による保護が欠けています。そのため、悪意のある、または侵害されたルーターは、ユーザーに気づかれないまま、悪意のあるコードを注入したり、API 資格情報を窃取したり、暗号資産を盗んだりすることが可能です。
Claude コード漏えい事件の原因は何で、なぜハッカーに悪用されたのですか?
Claude コード漏えいの原因は、Anthropic の内部関係者が NPM リポジトリ内で Java のソースコードマッピングファイルを誤って公開したことです。漏えい事件が広く注目されるようになった後、ハッカーは、開発者の漏えい内容への好奇心を利用し、漏えいコードを装った悪意のある圧縮パッケージを GitHub で拡散することで、標的ユーザーが自ら悪意のあるソフトウェアをインストールすることに成功しました。
開発者は、この種のサプライチェーン攻撃において自分自身をどうやって守るべきですか?
重要な防御策には次のようなものがあります。信頼でき、明確なセキュリティ監査記録があるルーターサービスのみを使用すること。非公式チャネルから、「特殊バージョン」と称するコードをダウンロードしないこと。API 資格情報の管理において最小権限の原則を徹底すること。そして LLM エージェントのフレームワークで応答側の異常検知メカニズムを有効化し、ルーターが侵害されてもオンチェーン資産の損失につながらないようにすることです。