株式会社MONO BRAINは、AIコーディングツール「Claude Code」向けに、シークレット漏洩対策プラグイン「マモラクSecret」を無償公開しました。
マモラクSecretが対応するClaude Codeのシークレット漏洩リスク
Claude CodeをはじめとするAIコーディングエージェントは、コード生成や調査、修正作業を大幅に効率化しました。一方で、従来の開発フローには存在しなかった新しい情報流出経路を生み出しています。
プロンプト送信やBashコマンド実行、ファイル書き込みなどの経路にAPIキーやアクセストークンが含まれていた場合、認証情報は開発者が意図しないままAIエージェントの文脈に取り込まれます。コマンド出力のログや成果物、外部サービスとの連携処理に残る可能性があるという点も課題です。
シークレット対策において、Gitへのコミット前後を検査するだけでは十分ではありません。認証情報はコミットされる前に、プロンプトやコマンド出力を通じてAIエージェントへ渡る可能性があるためです。Claude Codeには、ユーザー入力やツール実行の前後で処理を挟み込めるHooks機能が用意されており、「マモラクSecret」はこの仕組みを活用しています。
マモラクSecretの検出エンジンと誤検知抑制の仕組み
「マモラクSecret」の検出エンジンは、主要109種類のAPIキー・トークン形式に対応した設計です。対象となるのはOpenAI、Anthropic、AWS、GitHub、Stripe、Slackなどです。正規表現、高エントロピー検出、キー名ヒューリスティックを組み合わせており、既知のサービス固有キーから汎用的なシークレットらしい文字列まで幅広く検知できます。
153パターンのシークレットフィクスチャを用いた自動テストでは、153件すべての検出に成功し、検出漏れ0件を確認しました。検出感度を上げるだけでは、コード識別子やダミー値、ハッシュ値、テンプレート変数まで過剰に検知してしまいます。その結果、開発者の作業を止めるだけのツールになってしまう点が課題です。
誤検知抑制には、OSSコード100リポジトリ・780,461ファイルを対象とした検証で収集した実誤検知パターン19,258件をもとに、XGBoost製の誤検知削減モデルを搭載しました。このモデルは、トークン長、エントロピー、文字クラス比率、CamelCase遷移数、文脈キーワードなどの特徴量をもとにシークレットらしさを再評価します。これにより、高感度な検出と誤検知の抑制を両立しました。
マモラクSecretの概要と主な機能
「マモラクSecret」の基本機能は、リアルタイムスキャンによる検知・ブロックです。これに加え、Web UIでの検知履歴確認、ホワイトリスト管理、誤検知フィードバックといった運用支援機能も備えています。
| 項目 | 詳細 |
|---|---|
| 提供企業 | 株式会社MONO BRAIN |
| サービス名 | マモラクSecret |
| カテゴリ | シークレット漏洩対策プラグイン |
| 対象ツール | Claude Code |
| 提供形態 | 無償公開 |
| 対応サービス数 | 主要109種類のAPIキー・トークン形式 |
| 検出テスト実績 | 153パターン・検出漏れ0件 |
| 誤検知検証実績 | OSS 100リポジトリ・780,461ファイル・実誤検知パターン19,258件 |
| 主な機能 | リアルタイムスキャン・Web UIでの検知履歴確認・ホワイトリスト管理・誤検知フィードバック |
| 代表取締役 | 加藤 真規氏 |
| 関連プラットフォーム | AIセキュリティプラットフォーム「MODEL SAFE」 |
trends編集部の一言
153パターンの検出テストで漏れ0件という数字は、ツールの信頼性を示す指標として率直にインパクトがあります。AIコーディング支援市場では、GitHub CopilotやCursorといったエージェント型ツールの普及が加速してきました。
Claude Codeを含むこれらのツールによりコード生成の自動化が進む一方で、認証情報の流出経路は従来の「コミット時チェック」だけでは網羅できない段階に入っています。同種のシークレットスキャンツールでは有償提供や一部機能に限定した無償プランが多い中、フル機能を無償公開する提供形態は、AIエージェント時代のセキュリティ対策における業界の新たな標準モデルとして注目されます。
「高感度な検出」と「誤検知の抑制」を両立するために実誤検知パターン19,258件を学習データとして活用した点は、現場の実用性を意識した設計として業界動向の観点からも示唆を含む取り組みです。マーケティング業界の文脈に置き換えると、外部APIを活用した施策ツールの増加に伴い、認証情報の管理を個人の注意に依存しない仕組みへ移行する流れが業界横断で広がりつつあると捉えられます。
References
- ^ PR TIMES. 「そのClaude Code、APIキーを流出させていませんか。シークレット漏洩を防ぐプラグイン「マモラクSecret」無償公開 | 株式会社MONO BRAINのプレスリリース」. https://prtimes.jp/main/html/rd/p/000000081.000118521.html, (参照 26-06-15).
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
AITORAがAI検索での競合比較を可視化、対策レポートをモニター価格月額10万円〜で提供
株式会社MIXIが「Romi(Lacatanモデル)」の選べる声を全4種類に拡大、キャラ変との組み合わせが広がる
藤枝市役所が国産LLM「Sarashina」活用の窓口AI実証事業で総務省採択、ソフトバンクと協定締結
Hanji株式会社がAIチューター「Knock」に赤入れ添削機能を追加、数十秒〜1分程度で大学入試レベルまで対応
KozotaiがAIネイティブ会計ソフト「KOZOTAI」を正式リリース、自然言語入力だけで仕訳から決算書まで一貫処理
NTT西日本株式会社が大阪・福岡に次世代AI対応型データセンターを新設、西日本のAIインフラ強化へ
パテント・インテグレーション株式会社が「サマリア」の弁理士法対応を強化、利用規約改訂と注意喚起機能を追加
アステリアキャンバスがAI業務プラットフォーム「Bakusoku.AI」を提供開始、最短3分で業務ソフトウェアを自動生成
合同会社DMM.comが「DMMキャラトーク」を提供開始、1,000以上のパターンのキャラクターと1対1でトーク
株式会社アスレバがゴリラセールスAI商談を正式リリース、顧客の検討熱度が高い瞬間にAIが商談化を自動化
