GitHubを公開にしたら終わり？AIブログ作りで学んだ怖い話

この記事でわかること

① GitHubを公開（Public）にすると何が危険なのか

② 非公開（Private）に変更する手順

③ ブログ制作でAPIキーや個人情報を守るための注意点

AIを使ってブログを作り始めたとき、「GitHub（ギットハブ）」というサービスを使うことになりました。

最初は「なんか黒い画面で操作するやつ？」くらいの認識でした。でもある日、こんな話を聞いてゾッとしました。

「GitHubのコードにパスワードを書いたまま公開するのは、通帳の暗証番号をSNSに投稿したり、家の合鍵を駅の掲示板に貼り出すようなもの」

ITのプロでさえうっかりやらかしかけることがある——それほど気づきにくい落とし穴です。

非エンジニアの私には最初ピンとこなかったのですが、調べれば調べるほど「これは本当に怖い話だ」とわかってきました。今日はその話を、できるだけわかりやすく書きます。

そもそもGitHubって何？すごいツールなんです

GitHubは、世界中の開発者が使っているプログラムのコード（設計図）を保存・管理する場所です。

利用者は1億人以上。MicrosoftやGoogleといった世界的な企業も使っている、IT業界では欠かせないサービスです。「コードのGoogle Drive」とイメージしてもらえばわかりやすいかも。

バックアップ・チーム共有・変更履歴の管理など、使い方さえ正しければ本当に便利なツールです。

ただ一点だけ、絶対に間違えてはいけない設定があります。それが「公開か非公開か」の選択です。

Private（非公開） → 自分だけが見られる。鍵のかかった金庫。

Public（公開） → 世界中の誰でも見られる。インターネット上の掲示板に貼り出した状態。

問題は、うっかり公開にしたままにしてしまう人が多いことです。

「URLを知ってる人しかわからない」は通用しない

ここ、本当に大事なので最初に言わせてください。

「家族だけに見せたいから公開にした」「URLを知ってる人しか来ないから大丈夫」——これが大きな誤解です。

なぜなら、GitHubの公開リポジトリは検索エンジンにインデックスされるうえ、世界中のボット（自動プログラム）が常に新しい公開リポジトリをスキャンしているからです。

「誰も見つけられないだろう」ではなく、「公開した瞬間に全世界に向けて発信した」と思ってください。URLがどんなに複雑でも関係ありません。

APIキーって何？なぜ危ない？

AIツール（ChatGPTやClaudeなど）をブログやアプリに組み込んで使うとき、「APIキー」というものが必要になります。

APIキーとは何か、一言で言うと——

「AIサービスを使うためのクレジットカード番号」です。

AIサービスは「使った分だけお金がかかる従量制」です。タクシーのメーターのようなもので、使えば使うほど料金が積み上がります。

持っている人は誰でも、あなたの代わりにそのサービスを使えてしまいます。そして使った分の請求はあなたに来ます。

自分は一切使っていないのに、知らない誰かが大量に使いまくって、翌月に何十万円もの請求書が届く——それが「APIキー流出」の正体です。

悪い人は流出したAPIキーで何をするの？

主に3つです。①自分のAIサービスをタダで使う ②大量のスパムメールやフィッシング詐欺の文章を生成する ③他人に転売する。「自分はAIを大した用途で使ってないから被害は少ないはず」は通用しません。盗んだキーで何万回もリクエストを飛ばすので、あっという間に高額になります。

実際に起きた被害——これは他人事じゃない

これは「理論上の話」ではありません。実際に起きている被害です。

✓

13時間で約900万円の請求

GoogleのAIサービスのAPIキーが流出して、たった13時間で約900万円分の利用料を請求された事例があります（2025年）。

AIサービスは1回の質問が数円〜数十円でも、ボットが1分間に何千回もリクエストを送り続けると、あっという間に天文学的な金額になります。自分が寝ている間にメーターが回り続けるイメージです。

✓

AWSキー流出で90万円超

Amazon Web Services（AWSというクラウドサービス）の認証キーをGitHubに誤って公開してしまい、数時間で90万円以上の請求が来た事例。

悪用された用途は「電気代泥棒」です。AWSのコンピューターをあなたの名義で大量に起動して、その電気代・使用料だけあなたに請求されます。あなたの電気代メーターを勝手に回されているようなイメージです。

✓

ある企業で60億円規模の被害

GitHubの認証情報（ログインするためのパスワードのようなもの）が流出し、そこから企業の本番システム（実際にお客さんが使っている稼働中のシステム）に侵入されました。

顧客情報の盗難・システムの改ざんなどが行われ、被害総額は60億円規模に。これは大企業の話ですが、個人でも流出したAPIキーの請求が来るという意味では仕組みは同じです。

私が一番ゾッとしたのは「速さ」だった

もっと怖いのが、流出してから悪用されるまでの速さです。

GitHubにAPIキーを含むコードを公開してから——

4分以内にボットが自動検出（GitGuardian調査）

最速60秒以内に悪用開始という記録もある

インターネット上には、GitHubを24時間365日監視して、APIキーを自動で探し回るプログラムが大量に動いています。「誰も見ていないだろう」は通用しないんです。

60秒って…寝てる間どころか、気づく前に終わってるじゃん。

そうなの。だから「あとで直せばいいや」が通用しない。公開した瞬間が勝負なんだよね。

なぜそんなに速いのか？

人間が探しているのではなく、「ボット（自動プログラム）」が世界中のGitHubを常に自動スキャンしているからです。新しいコードが公開されると即座に検索・解析します。「マイナーなURLだから見つからない」は全く意味がありません。

「削除しても無駄」という罠

GitHubには「コミット履歴」という機能があって、過去に保存したものがずっと記録されています。ファイルを削除しても、履歴の中にAPIキーは残り続けます。

つまり——

公開した瞬間にアウト。削除しても意味がない。

これが「やらかしかけた」人が焦る理由です。

✓

もし流出してしまったら？唯一の正解

でも、もし流出してしまったとしても、すぐに動けば被害を止めることができます。

やることはシンプルで、「ファイルを削除」ではなく「APIキー自体を今すぐ無効化」することです。

OpenAIなら → ダッシュボードの「API keys」ページでキーを削除

Claudeなら → Anthropicのコンソール画面でキーを削除

AWSなら → IAM管理画面でアクセスキーを無効化

削除したら新しいキーを発行して使い直せばOK。古いキーは無効になるので、たとえ履歴に残っていても誰も使えません。

「どこで無効化するの？」「新しいキーの発行方法は？」——こういうことも、Claudeに聞けばその場で教えてくれます。「OpenAIのAPIキーを無効化したい、手順を教えて」と話しかけるだけで、画面の操作方法を丁寧に説明してくれます。焦ったときこそ、AIに相談するのが一番早いです。

私の場合はどうだったか

正直に書きます。

私もAIを使ってこのブログを作るとき、GitHubを使いました。最初は設定がよくわからない状態でスタートしていました。でも結果として、何も怖いことは起きませんでした。

何も起きなかった理由は、使い始めてすぐにCloudflareへ引っ越しして、安全な構成に整えたからだと思っています。

リポジトリをPrivate（非公開）に設定した

コードを保存する「倉庫」を非公開設定にしました。これだけで、知らない人に外から見られるリスクはかなり下がります。

APIキーをコードの中に書かなかった

「環境変数」という仕組みを使い、APIキーはCloudflare（ホスティングサービス）の金庫の中にだけ保管しました。コードには一切書いていません。

実はここで私、一回やらかしかけました。

このチャットで、APIキーをClaudeに伝えてもいいんだっけ？

チャットでAPIキーを渡すのはNGです。チャットの会話はサーバーに保存される可能性があって、万一ログが流出したときにキーも一緒に漏れてしまいます。Anthropicのポリシー的にも非推奨です。

えっ、そうなんだ…危なかった。

正しい方法は、CloudflareのSecrets（環境変数）に登録するか、.envファイルに書いてGitignoreする方法です。何かAPIキーを使う作業があれば、キーを渡さなくてもやり方を教えられますよ。

「Claudeに直接渡せばいいじゃん」と思って聞いたら、Claudeに止められました。こういう「やりがちなミス」を防いでくれるのも、AIを使いながら学べることの一つだと思っています。

Cloudflareへの移行は1時間もかからなかった

「セキュリティを考えた構成にするの、難しそう…」と最初は思っていました。でも実際にやってみたら、1時間もかからずに安全な環境が整いました。

AIに「次は何をすればいいか」を聞きながら進めれば、非エンジニアでも十分できます。

AIで副業を始める人が気をつけること

✓

やってはいけないこと

GitHubのリポジトリをPublic（公開）にする

APIキーをコードの中に直接書く

「URLを知ってる人しか来ない」と楽観視する

✓

やっておくべきこと

GitHubはPrivate（非公開）一択

APIキーは必ず環境変数（サービスの設定画面）で管理

わからなければAIに聞きながら進める（最後は自分でも設定画面を確認する）

「環境変数って何？」という方へ：

サービスの「設定画面の金庫」のようなものです。コードには「金庫の中身を使ってください」とだけ書いておき、金庫の中身（APIキー）はコードの外で管理します。これだけで流出リスクが大幅に減ります。

公開前に確認してほしいチェックリスト

「怖かった」で終わらせず、これだけ見れば大丈夫という項目をまとめました。

非エンジニア向け・公開前チェックリスト

□ GitHubのリポジトリはPrivate（非公開）になっている

□ .envファイルをGitHubに上げていない

□ APIキーをコードの本文に直接書いていない

□ CloudflareなどのSecrets（環境変数）にAPIキーを入れている

□ GitHubのSecurityタブに警告が出ていない

□ わからない設定はClaudeに聞き、最後に自分でも画面を確認した

まとめ

GitHubは世界中の開発者が使う、本当に優秀なツールです。使い方さえ間違えなければ、ブログ制作・副業・個人開発に欠かせない強い味方になります。

ただ一点だけ——Public（公開）かPrivate（非公開）か、ここだけは絶対に間違えてはいけません。

「家族だけに見せたいから」「URLを知ってる人しか来ないから」は通用しません。公開設定は文字通り、全世界に向けた公開です。

私は非エンジニアですが、ちゃんとした構成で1時間以内に安全な環境を整えられました。AIに聞きながら進めれば、誰でもできます。

「怖いからやめておこう」ではなく、「怖いことを知った上で、正しくやろう」——そういう気持ちで私は始めました。

じゃあ実際にブログを始めるにはどうすればいいの？

Claudeと一緒に0から作った手順を別記事にまとめてるよ。セキュリティの設定も含めて、全部AIに聞きながらできたから参考にしてみて！