2025年11月6日、Appleは新たに公開したApp Storeのウェブ版(apps.apple.com)に関するフロントエンドのソースコードとアセットがインターネット上に出回った事態を受け、GitHubに対して著作権侵害(DMCA)に基づく削除要請を行いました。
目次
誤公開の背景-本番環境でSourceMapが無効化されず流出
2025年11月、App Storeのウェブ版リニューアル公開直後の本番環境でSourceMapが無効化されていなかったことが、フロントエンド一式の取得を容易にしたと報じられています。
SourceMapが有効のままだと、配布用に最適化・難読化されたバンドルから、Svelte/TypeScriptの元ソース、状態管理ロジック、UIコンポーネント、API連携コード、ルーティング設定といった開発時の資産をほぼ再構成できてしまいます。
実際に、開発者が「教育目的」として当該コードをGitHubにアーカイブしたとされ、これが大量フォークと再拡散につながりました。
流出物に機密キーや資格情報は含まれていないとされる一方、本番でSourceMapを無効化するのはビルド運用の基本であり、今回の事案は運用手続き上の不備が誘因になった点が重く受け止められます。
対象のリポジトリ削除を申請
Appleは、GitHubに対して著作権侵害(DMCA)に基づく削除要請を行いました。
GitHubの公開DMCA記録では、親リポジトリだけでなく大量のフォークを含む「ネットワーク全体」を対象に処理が行われ、合計8,270件のリポジトリが削除されたことが明記されています。流出の端緒については、外部報道で構成ミスに起因するとされ、公開直後に開発者がコード一式をパッケージ化してGitHubへアップロードしていた経緯が伝えられています。
2025年11月5日、GitHub側は、申立対象のネットワークが100件を超え、かつ「ほとんど、または大半のフォークが同程度に侵害している」との主張があることから、代表的なURL群に加えてフォーク網全体を一括で削除対象としました。
流出コードの性質と想定されるリスク
今回出回ったのはフロントエンド側のコードが中心と見られ、サーバー側の機密や社内システムの内部実装が直接含まれるとは限りません。
しかし、フロントエンドの完全な写しが第三者の手に渡ることで、本物そっくりのUIや挙動を再現した模倣サイト(フィッシング)が作られやすくなり、利用者が正規サイトと誤認する危険性が高まります。また、クライアント側で参照する公開APIのエンドポイントやパラメータの傾向、入力検証やフロー制御の癖など、攻撃者にとって偵察上の手掛かりになり得る情報が読み取られる可能性があります。
さらに、ビルド設定や機能フラグといった構成情報の断片が露見していれば、公開範囲と秘匿範囲の境界が推測され、OSINT(公開情報を用いた情報収集)の起点として悪用されるおそれも否定できません。
二次配布・再公開に伴う法的・運用上の注意
GitHubのDMCA公開記録が示すとおり、Appleは当該コード群を著作権で保護された資産として扱い、再配布やフォークを含むネットワーク全体を侵害対象として申し立てています。
たとえ研究目的であっても、流出物のダウンロード、保持、再公開は著作権侵害に該当するリスクが高く、アカウント停止や法的請求の対象となり得ます。企業や開発者は、もし組織内で当該コードを入手してしまった場合、速やかに破棄し、法務・情報セキュリティ部門へ報告する対応が求められます。
あわせて、公式ドメインやTLS証明書の確認をユーザーに周知し、偽サイトへの誘導を防ぐ広報・サポート体制の強化が有効です。
サービス運営側が講じるべき現実的な対策
サービス提供者側では、今回のようなフロントエンド流出が起きた場合でも被害を最小化できるよう、サーバー側での厳格な認証・認可、レート制御、Bot検知、WAF運用を再点検することが重要です。
フロントエンドに秘密情報(APIキーやトークン類)を埋め込まないという原則の徹底は言うまでもなく、設定値の配布は最小限に留めるべきです。
さらに、ブランド保護の観点から、偽アプリ・偽ドメイン・SNS成りすましの常時監視と、発見時の迅速なテイクダウン手続きを整備しておくことが推奨されます。








