Claude Codeに情報流出の脆弱性 知らぬ間に認証情報を配布する開発者たち：13件に1件の割合でリスク

Claude Codeの利用中に生成される設定ファイルに、APIキーなどの認証情報がそのまま記録され、npm公開時に外部流出する恐れがあることが分かった。しかも多くの開発者がその存在に気付いていない。なぜこの見落としは起きるのか。

[田渕聖人，＠IT]

　Check Point Software Technologies傘下でAIセキュリティプラットフォームを手掛けるLakeraは2026年4月22日（米国時間）、「Claude Code」の利用に伴い、認証情報が外部に流出するリスクがあるとする調査結果を発表した。

　問題は、Claude Codeが生成するローカル設定ファイル「.claude/settings.local.json」に起因する。同ツールでは、ユーザーが「常に許可（allow always）」を選択したシェルコマンドがこのファイルに記録されるが、その際、APIキーやトークンなどの認証情報も含まれたまま保存されるケースがある。

Claude Codeの脆弱性、なぜ開発者は見落としてしまうのか？

　このファイルはプロジェクトディレクトリ内に配置されるため、開発者がnpmパッケージを公開する際、除外設定をしていない場合にはそのままパブリックレジストリに含まれる可能性がある。npmの標準設定では「.claude/」ディレクトリを自動的に除外する仕組みや警告がなく、見落とされやすい点がリスクを高めている。

問題のファイルの内容（出典：Lakeraのプレスリリース）

　Lakeraは、npmレジストリを監視する独自のスキャナーで実態を調査した結果、約4万6500件のパッケージのうち428件に該当ファイルが含まれ、さらに30パッケージにまたがる33ファイルから認証情報の混入を確認した。公開された設定ファイルのおよそ13件に1件の割合で機密情報が含まれていたことになる。

　実際に確認された情報には、npmの認証トークンやログイン情報、「GitHub」の個人アクセストークン、「Telegram Bot API」トークン、各種サービスの「Bearer」トークン、「Hugging Face」のAPIキーなどが含まれていた。これらはサービスへの不正アクセスやアカウント乗っ取りにつながる恐れがある。

　この問題が見落とされやすい背景には、当該ファイルが一見すると単なるコマンド一覧に見える点がある。開発中に許可したコマンドがそのまま蓄積される仕様のため、認証情報を含むコマンドも自然に記録され、開発者が意識しないまま公開されるケースが想定される。

　対策としてLakeraは、「.npmignore」や「.gitignore」に「.claude/」を追加し、公開対象から除外することを推奨している。また、「npm pack --dry-run」などを用いて公開内容を事前に確認することも重要だとしている。

　なお、公開済みパッケージに認証情報が含まれていた場合、後から削除はできない。該当するトークンやパスワードは速やかに再発行する必要がある。Lakeraは「.claude/settings.local.json自体に危険性はないが、通常の利用で認証情報が蓄積される副作用がある」と指摘し、開発者に対し、公開前のチェックと除外設定の徹底を呼び掛けている。