私とAI
ブログ運営

GitHubを公開にしたら終わり?AIブログ作りで学んだ怖い話

「GitHubって公開にしてもいいの?」ブログを作りながら学んだセキュリティの怖い話。非エンジニアの私が実際に気をつけたこと、1時間以内に安全な環境に移行できた方法を正直に書きます。

2026-04-28 公開2026-04-24 リライト

※ 本記事にはアフィリエイト広告が含まれる場合があります。

目次

  1. 1.そもそもGitHubって何?すごいツールなんです
  2. 2.「URLを知ってる人しかわからない」は通用しない
  3. 3.APIキーって何?なぜ危ない?
  4. 4.実際に何が起きているか
  5. 5.怖いのは「速さ」
  6. 6.「削除しても無駄」という罠
  7. 7.私の場合はどうだったか
  8. 8.AIで副業を始める人が気をつけること
  9. 9.まとめ

AIを使ってブログを作り始めたとき、「GitHub(ギットハブ)」というサービスを使うことになりました。

最初は「なんか黒い画面で操作するやつ?」くらいの認識でした。でもある日、こんな話を聞いてゾッとしました。

GitHubの公開設定に気づいて驚く女性

「GitHubのリポジトリを公開にするのは、お店の会員カードを玄関に置いておくようなもの」

両学長でさえ、やらかしかけたことがあると。

非エンジニアの私には最初ピンとこなかったのですが、調べれば調べるほど「これは本当に怖い話だ」とわかってきました。今日はその話を、できるだけわかりやすく書きます。

そもそもGitHubって何?すごいツールなんです

GitHubは、世界中の開発者が使っているプログラムのコード(設計図)を保存・管理する場所です。

利用者は1億人以上。MicrosoftやGoogleといった世界的な企業も使っている、IT業界では欠かせないサービスです。「コードのGoogle Drive」とイメージしてもらえばわかりやすいかも。

バックアップ・チーム共有・変更履歴の管理など、使い方さえ正しければ本当に便利なツールです。

ただ一点だけ、絶対に間違えてはいけない設定があります。それが「公開か非公開か」の選択です。

  • Private(非公開) → 自分だけが見られる。鍵のかかった金庫。
  • Public(公開) → 世界中の誰でも見られる。インターネット上の掲示板に貼り出した状態。

    • 問題は、うっかり公開にしたままにしてしまう人が多いことです。

    「URLを知ってる人しかわからない」は通用しない

    GitHubの公開設定の誤解

    ここ、本当に大事なので最初に言わせてください。

    「家族だけに見せたいから公開にした」「URLを知ってる人しか来ないから大丈夫」——これが大きな誤解です。

    なぜなら、GitHubの公開リポジトリは検索エンジンにインデックスされるうえ、世界中のボット(自動プログラム)が常に新しい公開リポジトリをスキャンしているからです。

    「誰も見つけられないだろう」ではなく、「公開した瞬間に全世界に向けて発信した」と思ってください。URLがどんなに複雑でも関係ありません。

    APIキーって何?なぜ危ない?

    ここが一番大事なところです。

    AIツール(ChatGPTやClaudeなど)をブログやアプリに組み込んで使うとき、「APIキー」というものが必要になります。

    APIキーとは何か、一言で言うと——

    「AIサービスを使うためのクレジットカード番号」です。

    AIサービスは「使った分だけお金がかかる従量制」です。タクシーのメーターのようなもので、使えば使うほど料金が積み上がります。

    持っている人は誰でも、あなたの代わりにそのサービスを使えてしまいます。そして使った分の請求はあなたに来ます。

    自分は一切使っていないのに、知らない誰かが大量に使いまくって、翌月に何十万円もの請求書が届く——それが「APIキー流出」の正体です。

    補足

    悪い人は流出したAPIキーで何をするの?

    主に3つです。①自分のAIサービスをタダで使う ②大量のスパムメールやフィッシング詐欺の文章を生成する ③他人に転売する。「自分はAIを大した用途で使ってないから被害は少ないはず」は通用しません。盗んだキーで何万回もリクエストを飛ばすので、あっという間に高額になります。

    実際に何が起きているか

    寝ている間にボットが情報を盗んでいく

    これは「理論上の話」ではありません。実際に起きている被害です。

    13時間で約900万円の請求

    GoogleのAIサービスのAPIキーが流出して、たった13時間で約900万円分の利用料を請求された事例があります(2025年)。

    AIサービスは1回の質問が数円〜数十円でも、ボットが1分間に何千回もリクエストを送り続けると、あっという間に天文学的な金額になります。自分が寝ている間にメーターが回り続けるイメージです。

    AWSキー流出で90万円超

    Amazon Web Services(AWSというクラウドサービス)の認証キーをGitHubに誤って公開してしまい、数時間で90万円以上の請求が来た事例。

    悪用された用途は「電気代泥棒」です。AWSのコンピューターをあなたの名義で大量に起動して、その電気代・使用料だけあなたに請求されます。あなたの電気代メーターを勝手に回されているようなイメージです。

    ある企業で60億円規模の被害

    GitHubの認証情報(ログインするためのパスワードのようなもの)が流出し、そこから企業の本番システム(実際にお客さんが使っている稼働中のシステム)に侵入されました。

    顧客情報の盗難・システムの改ざんなどが行われ、被害総額は60億円規模に。これは大企業の話ですが、個人でも流出したAPIキーの請求が来るという意味では仕組みは同じです。

    怖いのは「速さ」

    もっと怖いのが、流出してから悪用されるまでの速さです。

    GitHubにAPIキーを含むコードを公開してから——

  • 4分以内にボットが自動検出(GitGuardian調査)
  • 最速60秒以内に悪用開始という記録もある

    • インターネット上には、GitHubを24時間365日監視して、APIキーを自動で探し回るプログラムが大量に動いています。「誰も見ていないだろう」は通用しないんです。

    補足

    なぜそんなに速いのか?

    人間が探しているのではなく、「ボット(自動プログラム)」が世界中のGitHubを常に自動スキャンしているからです。新しいコードが公開されると即座に検索・解析します。「マイナーなURLだから見つからない」は全く意味がありません。

    「削除しても無駄」という罠

    公開→削除しても履歴が残る図解
    ?

    間違って公開しちゃっても、すぐ削除すればよくない?

    それがそういうわけでもないんだよ…これが一番怖い落とし穴なの。

    GitHubには「コミット履歴」という機能があって、過去に保存したものがずっと記録されています。ファイルを削除しても、履歴の中にAPIキーは残り続けます。

    つまり——

    公開した瞬間にアウト。削除しても意味がない。

    これが「やらかしかけた」人が焦る理由です。

    もし流出してしまったら?唯一の正解

    でも、もし流出してしまったとしても、すぐに動けば被害を止めることができます。

    やることはシンプルで、「ファイルを削除」ではなく「APIキー自体を今すぐ無効化」することです。

  • OpenAIなら → ダッシュボードの「API keys」ページでキーを削除
  • Claudeなら → Anthropicのコンソール画面でキーを削除
  • AWSなら → IAM管理画面でアクセスキーを無効化

    • 削除したら新しいキーを発行して使い直せばOK。古いキーは無効になるので、たとえ履歴に残っていても誰も使えません。

    「どこで無効化するの?」「新しいキーの発行方法は?」——こういうことも、Claudeに聞けばその場で教えてくれます。「OpenAIのAPIキーを無効化したい、手順を教えて」と話しかけるだけで、画面の操作方法を丁寧に説明してくれます。焦ったときこそ、AIに相談するのが一番早いです。

    私の場合はどうだったか

    正直に書きます。

    私もAIを使ってこのブログを作るとき、GitHubを使いました。最初は設定がよくわからない状態でスタートしていました。でも結果として、何も怖いことは起きませんでした。

    何も起きなかった理由は、使い始めてすぐにCloudflareへ引っ越しして、安全な構成に整えたからだと思っています。

    1

    リポジトリをPrivate(非公開)に設定した

    コードを保存する「倉庫」を非公開設定にしました。これだけで、外から覗かれるリスクはゼロです。

    2

    APIキーをコードの中に書かなかった

    「環境変数」という仕組みを使い、APIキーはCloudflare(ホスティングサービス)の金庫の中にだけ保管しました。コードには一切書いていません。

    3

    Cloudflareへの移行は1時間もかからなかった

    「セキュリティを考えた構成にするの、難しそう…」と最初は思っていました。でも実際にやってみたら、1時間もかからずに安全な環境が整いました。

    AIに「次は何をすればいいか」を聞きながら進めれば、非エンジニアでも十分できます。

    AIで副業を始める人が気をつけること

    最後に、AIを使って副業を始めようとしている人へのまとめです。

    やってはいけないこと

  • GitHubのリポジトリをPublic(公開)にする
  • APIキーをコードの中に直接書く
  • 「URLを知ってる人しか来ない」と楽観視する

    • やっておくべきこと

  • GitHubはPrivate(非公開)一択
  • APIキーは必ず環境変数(サービスの設定画面)で管理
  • わからなければAIに聞きながら進める
    • 補足

    「環境変数って何?」という方へ:

    サービスの「設定画面の金庫」のようなものです。コードには「金庫の中身を使ってください」とだけ書いておき、金庫の中身(APIキー)はコードの外で管理します。これだけで流出リスクが大幅に減ります。

    まとめ

    GitHubは世界中の開発者が使う、本当に優秀なツールです。使い方さえ間違えなければ、ブログ制作・副業・個人開発に欠かせない強い味方になります。

    ただ一点だけ——Public(公開)かPrivate(非公開)か、ここだけは絶対に間違えてはいけません。

    「家族だけに見せたいから」「URLを知ってる人しか来ないから」は通用しません。公開設定は文字通り、全世界に向けた公開です。

    私は非エンジニアですが、ちゃんとした構成で1時間以内に安全な環境を整えられました。AIに聞きながら進めれば、誰でもできます。

    「怖いからやめておこう」ではなく、「怖いことを知った上で、正しくやろう」——それがAIと副業を始める上での正しい姿勢だと思っています。

    関連記事

    AIアフィリエイトブログの始め方【2026年版・主婦でもできる完全ガイド】
    副業・稼ぎ方

    AIアフィリエイトブログの始め方【2026年版・主婦でもできる完全ガイド】

    「なんかこれ違う」でも伝わる。話し言葉でClaudeを使い倒す方法
    AIツールレビュー

    「なんかこれ違う」でも伝わる。話し言葉でClaudeを使い倒す方法

    このブログについて|主婦がClaudeで0からブログを作った話
    ブログについて

    このブログについて|主婦がClaudeで0からブログを作った話

    ← 記事一覧に戻る