Pythonのpickle完全解説：シリアライズの仕組み、使い方、そして危険性 🐍

Pythonオブジェクトをバイトの海へ、そして再びその姿へ

1. pickleとは何か？

Pythonのpickleモジュールは、Pythonオブジェクトの階層構造をバイトストリームに変換するプロセス（Pickle化またはシリアライズ）と、そのバイトストリームから元のオブジェクト構造を復元するプロセス（非Pickle化またはデシリアライズ）を実装しています。

これを使うことで、プログラムの実行状態（例えば、機械学習モデルの学習済みパラメータや、複雑なデータ構造を持つ変数）をファイルに保存したり、ネットワーク経由で他のPythonプロセスに送信したりすることが可能になります。簡単に言えば、Pythonオブジェクトを一時的に「冷凍保存」し、後で「解凍」して元通りに使うための仕組みです。🍦

このプロセスは、データの永続化（プログラムが終了してもデータを残すこと）や、プロセス間通信、キャッシュなどに役立ちます。

2. pickleの基本的な使い方

pickleモジュールの最も基本的な使い方は、dump()関数（オブジェクトをファイルに書き込む）とload()関数（ファイルからオブジェクトを読み込む）です。また、ファイルではなくバイト列として扱いたい場合は、dumps()関数（オブジェクトをバイト列に変換）とloads()関数（バイト列からオブジェクトを復元）を使用します。

ファイルへのPickle化 (dump) と非Pickle化 (load)

オブジェクトをファイルに保存（Pickle化）し、それをファイルから読み込む（非Pickle化）例を見てみましょう。ファイルはバイナリモード ('wb' や 'rb') で開くことが重要です。これにより、異なる環境間での互換性が高まります。

import pickle

# Pickle化したいデータ
my_data = {
    'name': 'サンプルデータ',
    'version': 1.0,
    'items': [1, 2, 3, 'apple', 'banana']
}

# ファイルにPickle化 (書き込み)
file_path = 'data.pkl'
try:
    with open(file_path, 'wb') as f: # 'wb' = Write Binary
        pickle.dump(my_data, f)
    print(f"データが {file_path} に保存されました。")
except Exception as e:
    print(f"Pickle化中にエラーが発生しました: {e}")


# ファイルから非Pickle化 (読み込み)
try:
    with open(file_path, 'rb') as f: # 'rb' = Read Binary
        loaded_data = pickle.load(f)
    print(f"{file_path} からデータを読み込みました。")
    print("読み込んだデータ:", loaded_data)

    # データの検証
    assert my_data == loaded_data
    print("元のデータと読み込んだデータは一致します。")

except FileNotFoundError:
    print(f"エラー: {file_path} が見つかりません。")
except Exception as e:
    print(f"非Pickle化中にエラーが発生しました: {e}")

バイト列へのPickle化 (dumps) と非Pickle化 (loads)

オブジェクトをファイルではなく、メモリ上のバイト列として扱いたい場合はdumpsとloadsを使います。これはネットワーク通信などで便利です。

import pickle

# Pickle化したいデータ
my_list = ['Python', 3.11, True, None, (1, 2)]

# バイト列にPickle化
pickled_bytes = pickle.dumps(my_list)
print("Pickle化されたバイト列 (一部):", pickled_bytes[:50], "...") # 長いので一部表示

# バイト列から非Pickle化
unpickled_list = pickle.loads(pickled_bytes)
print("非Pickle化されたリスト:", unpickled_list)

# データの検証
assert my_list == unpickled_list
print("元のリストと非Pickle化されたリストは一致します。")

3. Pickle化できるオブジェクトとできないオブジェクト

pickleは多くのPythonオブジェクトを扱うことができますが、すべてではありません。一般的に、以下のものがPickle化可能です。

None, True, False
整数 (int), 浮動小数点数 (float), 複素数 (complex)
文字列 (str), バイト列 (bytes), バイト配列 (bytearray)
Pickle化可能なオブジェクトを含むタプル (tuple), リスト (list), セット (set), 辞書 (dict)
モジュールのトップレベルで定義された関数（lambda関数は不可）
モジュールのトップレベルで定義されたクラス
特定の条件を満たすクラスインスタンス（通常、クラス定義がインポート可能である必要があります）。__getstate__() や __setstate__() メソッドでPickle化の挙動をカスタマイズできます。

一方、以下のようなオブジェクトは通常Pickle化できません。

ジェネレータ
内部クラス（クラス内で定義されたクラス）
lambda関数
スレッド、プロセス、ソケット、ファイルハンドルなど、OSに依存するリソース

カスタムクラスのインスタンスをPickle化する場合、非Pickle化する環境でもそのクラス定義が利用可能（インポート可能）である必要がある点に注意してください。

import pickle

# カスタムクラス
class MyClass:
    def __init__(self, value):
        self.value = value
        self.squared = value * value

    def display(self):
        print(f"Value: {self.value}, Squared: {self.squared}")

# インスタンスを作成
instance = MyClass(10)

# Pickle化
pickled_instance = pickle.dumps(instance)

# 非Pickle化
# (通常は別のプロセスや後日実行されるが、ここでは同じスクリプト内で行う)
# このスコープで MyClass が定義されている必要がある
unpickled_instance = pickle.loads(pickled_instance)

unpickled_instance.display() # 出力: Value: 10, Squared: 100
print(f"元のインスタンスと同じクラスか: {isinstance(unpickled_instance, MyClass)}") # 出力: True

4. Pickleプロトコル

pickleには複数の「プロトコルバージョン」が存在します。これらは、オブジェクトをバイトストリームに変換する方法の規約です。新しいプロトコルほど、より効率的なバイナリ表現や、より多くの種類のオブジェクト、大きなオブジェクト（4GiB以上）のサポートなどが追加されています。

pickle.dump() や pickle.dumps() で protocol 引数を指定することで、使用するプロトコルバージョンを選択できます。指定しない場合、Pythonのバージョンによってデフォルトのプロトコルが使用されます（Python 3.8以降ではプロトコル4がデフォルト）。

プロトコルバージョン	導入Pythonバージョン	特徴
0	1.x (原始的)	ASCII形式。人間が読めるが非効率。後方互換性のために存在する。
1	1.x (原始的)	古いバイナリ形式。
2	2.3	新しいスタイルのクラスに対応。より効率的なPickle化。
3	3.0	`bytes`オブジェクトに対応。Python 2.x では非Pickle化できない。Python 3.0-3.7 のデフォルト。
4	3.4	非常に大きなオブジェクト（4GiB超）に対応。より多くの型に対応。効率改善。Python 3.8以降のデフォルト。
5	3.8	アウトオブバンドデータ（Pickleデータ本体とは別に、大きなバイナリデータなどを効率的に扱うための仕組み）に対応。Pickleデータ自体の効率も改善。

一般的には、特定の古いPythonバージョンとの互換性が必要な場合を除き、デフォルトのプロトコルまたは pickle.HIGHEST_PROTOCOL（現在のPython環境で利用可能な最新プロトコル）を使用するのが推奨されます。

import pickle

my_data = {"protocol_test": [i for i in range(100)]}

# 利用可能な最新プロトコルでPickle化
latest_pickled = pickle.dumps(my_data, protocol=pickle.HIGHEST_PROTOCOL)
print(f"最新プロトコル ({pickle.HIGHEST_PROTOCOL}) のバイト列長: {len(latest_pickled)}")

# 古いプロトコル (例: 0) でPickle化
protocol_0_pickled = pickle.dumps(my_data, protocol=0)
print(f"プロトコル 0 のバイト列長: {len(protocol_0_pickled)}")

異なるプロトコルで作成されたPickleデータでも、pickle.load() や pickle.loads() は通常、どのプロトコルで作成されたかを自動的に判別して非Pickle化できます（ただし、非Pickle化するPythonバージョンがそのプロトコルをサポートしている必要があります）。

5. セキュリティリスク：最大の注意点 🚨

pickle モジュールは安全ではありません。これは非常に重要な点であり、pickle を利用する上で絶対に理解しておく必要があります。

警告: 信頼できないデータの非Pickle化は危険！

信頼できないソースから受け取った、あるいは改ざんされた可能性のあるpickleデータを絶対に非Pickle化（pickle.load() や pickle.loads() を使用）してはいけません。悪意を持って作成されたpickleデータは、非Pickle化プロセス中に任意のコードを実行させることが可能です。これにより、システムへの不正アクセス、データの破壊、マルウェアの実行など、深刻なセキュリティ侵害を引き起こす可能性があります。

なぜ危険なのか？

pickleのデータ形式は、単なるデータ表現ではなく、オブジェクトを再構築するための「指示」を含んでいます。この指示の中には、特定の関数やメソッドを呼び出す命令（オペコード）が含まれています。攻撃者は、この仕組みを悪用し、例えばos.system()のような危険な関数を実行させるようなバイトストリームを作成できます。

非Pickle化処理は、受け取ったバイトストリームを基本的に「信頼」し、その指示に従ってオブジェクトを組み立てようとします。そのため、バイトストリーム内に悪意のある指示が含まれていると、それが実行されてしまうのです。

import pickle
import os

# 悪意のあるペイロードを作成するクラスの例 (実行しないでください！)
# このクラスは、非Pickle化されると 'ls -l /' コマンドを実行しようとします。
class MaliciousPayload:
    def __reduce__(self):
        # __reduce__ は Pickle化/非Pickle化の挙動をカスタマイズする特殊メソッド
        # ここで (実行したい関数, (関数の引数,)) を返すことで、
        # 非Pickle化時にその関数が実行される
        command = "echo '危険なコードが実行されました！'" # 例として安全なコマンドに置き換え
        # command = "rm -rf /" # !!絶対に実行しないこと!!
        return (os.system, (command,))

# 悪意のあるペイロードをPickle化 (攻撃者が行うこと)
payload_instance = MaliciousPayload()
malicious_pickle_data = pickle.dumps(payload_instance)
print("悪意のある Pickle データ (例):", malicious_pickle_data)

# --- ここから下が被害者のコード ---
# 信頼できないソースから malicious_pickle_data を受け取ったと仮定

# !! 注意: 以下の行は悪意のあるコードを実行する可能性があります !!
# try:
#     # 信頼できないデータを非Pickle化しようとする
#     unpickled_object = pickle.loads(malicious_pickle_data)
#     print("非Pickle化に成功しました (危険！)")
# except Exception as e:
#     print(f"非Pickle化中にエラー: {e}")

print("\n--- 安全な対処法 ---")
print("信頼できない pickle データは絶対に load/loads しないでください。")
print("代替の安全なシリアライズ形式 (JSON など) を検討してください。")

過去の事例と攻撃手法

pickleの脆弱性は古くから知られており、様々な場面で悪用されてきました。

Webアプリケーションにおいて、ユーザーからの入力（セッションデータ、APIパラメータなど）を安易にpickle.loads()で処理していたために、リモートから任意のコードを実行される脆弱性が発見された事例があります。
機械学習の分野では、学習済みモデルを.pklファイルとして共有することがありますが、信頼できないソースから入手したモデルファイルをロードすると、悪意のあるコードが実行される可能性があります。2024年には「Sleepy Pickle」と呼ばれる攻撃手法が報告されており、これはPickleファイルに悪意のあるペイロードを埋め込み、モデルがロードされる際にそれを実行させるものです。これにより、モデルの出力を改ざんしたり、バックドアを仕込んだりすることが可能になります。
2025年初頭には、AIモデル共有プラットフォーム Hugging Face において、「nullifAI」と呼ばれる脆弱性が報告されました。これは、意図的に破損させたPickleファイルをアップロードすることで、Hugging Faceのスキャンメカニズムを回避し、悪意のあるコードを含むモデルを配布できる可能性を示すものでした（実際の被害は報告されていません）。

これらの事例は、pickleが便利さの裏に大きなリスクを抱えていることを示しています。

6. 安全な使い方とベストプラクティス

pickleの危険性を踏まえ、安全に利用するためのガイドラインを守ることが重要です。

信頼できるデータのみを非Pickle化する: これが最も重要な原則です。自分で生成したデータや、完全に信頼できる送信元から受け取ったデータ以外は、決してpickle.load()やpickle.loads()で処理しないでください。

データの完全性を検証する: ネットワーク経由でpickleデータを送受信する場合や、ファイルとして保存する場合は、データが改ざんされていないことを確認する仕組みを導入することを検討してください。例えば、hmacモジュールなどを使ってデータに署名を付け、受信側（読み込み側）で署名を検証する方法があります。

import pickle
import hmac
import hashlib

secret_key = b'my-super-secret-key' # 実際には安全な方法で管理する

data_to_send = {'message': 'これは安全なメッセージ'}

# Pickle化
pickled_data = pickle.dumps(data_to_send)

# HMAC署名を計算
digest = hmac.new(secret_key, pickled_data, hashlib.sha256).digest()

# --- 送信側は pickled_data と digest を送る ---

# --- 受信側の処理 ---
received_pickle_data = pickled_data # 仮に受信したデータ
received_digest = digest           # 仮に受信した署名

# 受信したデータで署名を再計算
computed_digest = hmac.new(secret_key, received_pickle_data, hashlib.sha256).digest()

# 署名を比較してデータが改ざんされていないか確認
if hmac.compare_digest(computed_digest, received_digest):
    print("署名が一致しました。データは改ざんされていません。")
    # 署名が有効な場合のみ、非Pickle化を試みる (ただし、データ生成元が信頼できる前提)
    try:
        original_data = pickle.loads(received_pickle_data)
        print("非Pickle化成功:", original_data)
    except Exception as e:
        print(f"非Pickle化中にエラー: {e}")
else:
    print("警告: 署名が一致しません！データが改ざんされた可能性があります。非Pickle化を中止します。")

代替手段を検討する: 外部ソースからのデータや、異なるシステム間でデータをやり取りする場合は、pickleよりも安全なシリアライズ形式（JSON、MessagePack、Protocol Buffersなど）の使用を強く推奨します。
静的コード解析ツールを利用する: Semgrepなどの静的コード解析ツールは、コード内で安全でないpickleの使用パターン（特にpickle.loads()やpickle.load()）を検出するのに役立ちます。CI/CDパイプラインに組み込むことで、危険なコードがデプロイされるのを防ぐことができます。
アクセス制御: pickleファイルが保存されるファイルシステムやデータベースのアクセス権限を適切に管理し、不正なアクセスや改ざんを防ぎます。
暗号化された接続: ネットワーク経由でpickleデータを送受信する場合は、TLS/SSLなどの暗号化された接続を使用し、盗聴や改ざんを防ぎます。

要点: pickleは内部的なデータ保存や、完全に制御された信頼できる環境間のデータ交換には便利ですが、少しでも信頼性に疑問があるデータを扱う場合は、絶対に使用を避けるべきです。

7. pickleの代替となるシリアライズ形式

pickleのセキュリティリスクやPython固有であるという性質から、多くの場合、代替となるシリアライズ形式を検討する方が適切です。以下に代表的なものをいくつか紹介します。

形式	特徴	長所	短所	主な用途
JSON (`json`)	テキストベース、人間が読める	・安全性が高い (任意コード実行のリスクなし) ・人間が読める・言語間で広くサポートされている (相互運用性が高い) ・Web APIで標準的に使われる	・バイナリデータ(bytes)を直接扱えない (Base64エンコードなどが必要) ・対応しているデータ型が基本型 (数値、文字列、真偽値、配列、オブジェクト) に限られる・Python固有のオブジェクト (クラスインスタンスなど) はそのままでは扱えない・`pickle`より遅く、データサイズが大きくなる傾向がある	Web API、設定ファイル、単純なデータ交換
MessagePack (`msgpack`)	バイナリベース	・JSONより高速かつコンパクト・JSONライクなデータ構造を効率的に扱える・多くの言語でライブラリが存在	・人間が直接読めない・JSONほど普及はしていない・Python固有オブジェクトは扱えない	RPC (遠隔手続き呼出し)、キャッシュ、高速なデータ交換
Protocol Buffers (protobuf)	バイナリベース、スキーマ定義必須	・非常に高速かつコンパクト・スキーマ定義によりデータ構造が明確で、前方/後方互換性を保ちやすい・Googleが開発し、多くの言語をサポート	・スキーマ定義ファイル (`.proto`) の作成とコンパイルが必要・人間が直接読めない・導入の手間がやや大きい	RPC、マイクロサービス間通信、構造化データの永続化
CSV (`csv`)	テキストベース、表形式データ	・人間が読める（単純な場合）・表計算ソフトで容易に扱える・シンプル	・階層構造や複雑なデータ型を表現できない・型情報が失われる・パースが曖昧になる場合がある（区切り文字、クォーテーションなど）	表形式データの交換、ログファイル
YAML (`PyYAML`) (注意あり)	テキストベース、人間が読みやすい	・JSONより人間が読み書きしやすい・複雑なデータ構造やコメントを記述できる	・`yaml.load()` は `pickle` と同様に任意コード実行の脆弱性を持つ！必ず `yaml.safe_load()` を使う必要がある。・JSONよりパースが複雑で遅い場合がある	設定ファイル、オブジェクトシリアライズ（安全な使い方を厳守）
Safetensors (`safetensors`)	バイナリベース、テンソルデータ特化	・安全性が高い（任意コード実行のリスクなし）・大規模なテンソルデータ（機械学習モデルの重みなど）を高速かつ効率的にロードできる・メタデータを含めることができる	・主にテンソルデータ向け・比較的新しいフォーマット	機械学習モデルの重みの保存・共有
Joblib (`joblib`)	`pickle`ベースだが最適化あり	・NumPy配列を含む大きなオブジェクトの扱いに最適化されている・`pickle`より効率的な場合がある（特にNumPy配列）	・`pickle`に基づいているため、同様のセキュリティリスクを持つ・Python固有	機械学習モデル、NumPy配列の保存（信頼できる環境限定）

選択のポイント

どの形式を選ぶかは、データの種類、パフォーマンス要件、セキュリティ要件、相互運用性の必要性などを考慮して決定します。セキュリティが最優先される場合や、異なる言語・システム間でデータを交換する必要がある場合は、JSONやProtocol Buffers、MessagePack、Safetensorsなどがpickleよりもはるかに優れた選択肢となります。

8. まとめ ✨

Pythonのpickleモジュールは、Pythonオブジェクトを簡単にシリアライズ・デシリアライズできる強力なツールです。プログラムの状態保存やキャッシュ、単純なプロセス間通信などに役立ちます。

しかし、その利便性の裏には深刻なセキュリティリスクが潜んでいます。信頼できないソースからのデータを安易に非Pickle化すると、任意のコードを実行される危険性があります。

したがって、pickleを使用する際は以下の点を強く意識する必要があります。

信頼できないデータは絶対に非Pickle化しない。
データの完全性を検証する仕組み（HMAC署名など）を検討する。
可能な限り、JSON、MessagePack、Protocol Buffers、Safetensorsのような、より安全で相互運用性の高い代替形式を利用する。

pickleは、その特性とリスクを十分に理解した上で、適切な場面で、最大限の注意を払って使用するようにしましょう。多くの場合、より安全な代替手段が存在することを忘れないでください。 🤔