GitHub上で当社に関連する情報が公開状態になっていないか調査を実施しました。結果の共有と、皆さんへのお願いです。
GitHub上で「SHIFT AI」「10xc」等のキーワードで検索を行い、当社に関連する情報が公開リポジトリ上に露出していないかを調査しました。
その結果、GitHub上で誰でも検索・閲覧できる状態のリポジトリが複数確認されました。
ソースコードに @10xc.jp のメールアドレスが記載されていると、ドメイン構造が判明し、他の社員のアドレスも推測可能になります。フィッシング攻撃やなりすましの標的にされるリスクがあります。
リポジトリ名や説明文に「SHIFT AI」と書かれているだけでも、社内でどんなツールを使い、どんな活動をしているかが外部から見える状態になります。
以下に心当たりがある方は、リポジトリの設定を見直してください。
@10xc.jp のメールアドレスを直接書いている業務関連のリポジトリは原則Privateでお願いします。特に以下の情報は、Publicリポジトリに含めないでください。
Privateにすると、外部への共有(勉強会の成果物公開、ポートフォリオとしての活用等)ができなくなります。
@10xc.jp のメールアドレスやAPIキーが含まれていないか判断に迷う場合は、遠慮なく脇屋まで相談してください。「これ公開して大丈夫?」レベルの確認で構いません。一緒に確認します。
Google DriveやGWSのパスにメールアドレスが含まれるケースがよくあります。環境変数(.env ファイル)に外出しして、.gitignore で除外するのが鉄則です。
path = "~/Library/CloudStorage/GoogleDrive-yourname@10xc.jp/マイドライブ"
import os path = os.environ.get("GDRIVE_PATH", "~/Documents/default")
今回の調査で該当が確認された方には、別途個別にご連絡いたします。対応方法も一緒にお伝えしますので、ご安心ください。
GitHubは非常に便利なツールです。積極的に活用してください。
ただ、公開設定ひとつで意図しない情報露出が起きてしまうので、
この機会にぜひ確認をお願いします。
以下のファイルをリポジトリに入れるだけで、情報漏洩リスクの8〜9割を防止できます。
この3つはスターターキット(1ファイル)にまとまっています。ダウンロードしてリポジトリに置き、Claude Code に以下のプロンプトをコピペするだけで自動セットアップされます:
security-starter-kit.md を読んで、以下の手順で3つのファイルをセットアップしてください。 1. .gitignore のセクション内容を、リポジトリ直下の .gitignore に追記(既存がある場合はマージ、重複は除去) 2. CLAUDE.md セキュリティルールのセクション内容を、.claude/CLAUDE.md の末尾に追記(ファイルがなければ新規作成) 3. セキュリティチェックスキルのセクション内容を、.agents/skills/security/security-check.md として作成(フォルダがなければ作成) 完了したら、各ファイルが正しく配置されたか確認してください。
導入がわからない場合は脇屋まで気軽に聞いてください。一緒にセットアップします。