ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯

TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。

わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジトリが、今年最も効果的かつ多発している攻撃経路の一つとなっているのです。

数々の技術的な攻撃手法が存在する中、TeamPCPによる最大の打撃は「信頼の破壊」です。ほとんどの組織が自社システムに取り込むコードの正当性を検証していないという事実を繰り返し証明し、現代経済を支えるソフトウェア開発業界の多くが依存してきた「ほぼ盲目的な信頼」を悪用してきました。

2月のTrivyへの攻撃を皮切りに、TeamPCPはその信頼を幾度となく揺るがしてきました。

TeamPCPの攻撃規模が拡大した背景には、CI/CDパイプラインのような自動コードデプロイシステムの存在があります。さらに、開発者がAIへの依存を強めることで生まれた新たなセキュリティの隙を突いてもいます。さほど高度な技術や独創的な手法を用いなくても、TeamPCPはオープンソースのフレームワークや基盤システムを、テクノロジーコミュニティがほとんど経験したことのない規模で破壊し続けています。

「開発者はこれまでも、オープンソースの依存関係におけるセキュリティ分析を十分に行っていませんでした。しかしAIの登場によって、こうしたツールが何をしているかを人間がほとんど、あるいはまったく確認しないケースも出てきています」と、Socketの創業者兼CEOであるFeross Aboukhadijeh氏はCyberScoopに語りました。

「審査を経ていないパッケージをエージェントがインストールしている状況です」と同氏は続けます。「攻撃者が侵入した場合、それを阻止するためのチェック機能や牽制機能が少ないため、影響はさらに広範囲に及びます。」

TeamPCPは新たな問題を発見したわけでも、斬新な手法を証明したわけでもありません。これらの攻撃の核心は一貫したテーマにあります。ソフトウェア業界全体が何年も前から認識していた防御上の脆弱性です。オープンソースの信頼モデルが壊れており、意図的な破壊工作に対して脆弱であることは、研究者も開発者も承知しています。しかし、ソフトウェア業界はこの問題を解決できていません。

「この攻撃で最も注目すべきは、その速度と規模です。手法そのものが目新しいわけではありません。根本的には、私たちが持つサードパーティへの信頼を悪用しているに過ぎないのです」と、Google脅威インテリジェンスグループのシニアマネージャー、Kimberly Goody氏は述べています。

ソフトウェアパッケージは通常、本番環境にリリースされる前に、脆弱性や汚染されたアップデートを検出するための厳密なセキュリティ監視を受けます。

しかし、TeamPCPが浮き彫りにした真の脆弱性は、そのサプライチェーンのもっと上流、つまりこれらのパッケージを広く市場に公開している組織や個人にある、とPalo Alto NetworksのクラウドセキュリティインテリジェンスマネージャーであるNathaniel Quist氏は指摘します。

「認証情報を保護し、サプライチェーンインシデントの起点を作らないことは彼らの責任です」と同氏は言います。「そのゾーンに関係する、あるいは通過するすべての要素を厳重に監視・管理し、侵害が発生した場合に迅速かつ容易に封じ込められるようにしなければなりません。」

TeamPCPの動機

TeamPCPは、2025年末に出現して以来、その活動量の多さから脅威ハンターたちの大きな注目を集めてきました。Googleはこの一連の活動を、一人のコアオペレーターによるものと断定しています。

同社によると、TeamPCPの住居用・モバイルIPアドレスの接続が南アフリカに紐付けられており、少なくとも一部の攻撃において、主要な攻撃者が同国に滞在していたことを示しています。

「確立されたコアグループは存在しないと考えています。少なくとも現時点では、これらの活動の多くが個人によって行われているようです」とGoody氏は述べています。Googleはコアオペレーターの名前を明かすことも、その人物の本当の身元を把握しているかどうかを確認することも拒否しました。

Palo Alto Networksによると、TeamPCPのコアマネージャーは複数のプラットフォームで「ResoluteXBF」というハンドルネームを使用しているとのことです。同社はさらに、「diencracked」と「Shinigami」という2名のコアメンバーも追跡しています。

TeamPCPが主に一人の人物によって運営されているとすれば、法執行機関にとっては単一の逮捕で大きな成果を上げられる稀な機会となります。

TeamPCPは他の犯罪者と協力関係を結んでいましたが、そのほとんどは短命に終わり、公開の口論に発展するか、意味のある形で軌道に乗ることなく終了したとGoody氏は述べています。

研究者たちは、TeamPCPをLapsus$、ShinyHunters、Vect、DragonForce、BreachForums、「HasanBroker」などの恐喝グループ、ダークウェブフォーラム、アフィリエイトと結び付けています。TeamPCPはダークウェブフォーラムに、約4,000件のプライベートコードリポジトリを95,000ドルの希望価格で掲載しました。

これまでの行動、中でも予測不可能な振る舞いを見ると、金銭的な利益を超えた動機と「名声への明らかな欲求」が見て取れるとGoody氏は言います。「彼らは混乱を引き起こすことを楽しんでいるようです。」

Quist氏も数カ月にわたる調査から同じ結論に達しており、これが他のサイバー犯罪者を参入させる誘因になっていると指摘しています。実際に一時期、最大規模のソフトウェアサプライチェーン攻撃を成功させた者に金銭的報酬を提示したこともありました。

TeamPCPは恐喝金の獲得を目的としているわけではないと同氏は言います。「これらの攻撃者はアンダーグラウンドでのストリートクレジットを得ること」と「可能な限り大きなダメージと混乱を引き起こすこと」により強い関心を持っています。

被害者は多数、しかし実際の露出は限定的

TeamPCPは非常に目立つ行動をとっており、Kubernetes環境、Amazon Web Services、Microsoft Azure、Google Cloudをはじめとする多くの接続サービスの認証情報を窃取する目的で、オープンソースソフトウェアに日和見的にマルウェアを注入してきました。

同グループが主張する被害者リストは圧倒的です。Checkmarx、Bitwarden、LiteLLM、Telnyx、Mercor AI、PyTorch Lightning、AntV、SAP、GitHub、TanStack、UiPath、MistralAI、Microsoft DurableTask、Red Hat、Nx Consoleなどが名を連ねています。

TeamPCPがこれまでに侵害または汚染したパッケージの総数は、合計で週間ダウンロード数約5億件に相当するとQuist氏は述べています。

これらのダウンロードから生じる潜在的なダウンサイド侵害の規模は甚大ですが、マルウェアに感染したパッケージがインストールされた多くのエンドポイントはインターネットに公開されておらず、攻撃を受けにくい状態にあると同氏は補足しています。

「被害者の数が非常に多くなるとは思いません」とQuist氏は述べます。「潜在的に侵害される可能性があり、脆弱なパッケージが環境内に存在している人は多いかもしれませんが、それは必ずしも悪用可能な状態にあることを意味するわけではありません。」

これらのインシデントは大きな見出しを飾りましたが、TeamPCPが他のサイバー犯罪者ほど多額の収益を上げているわけではありません。しかし、もたらした評判上のダメージは計り知れないものがあります。

TeamPCPが公式に主張している被害者数は10,000件以上、恐喝による収益は約90,000ドルにのぼるとQuist氏は言います。

「多くの金銭を得ているわけではないかもしれませんが、多大な影響を与えています」とGoody氏は述べます。「彼らのキャンペーンは非常に破壊的でした。」

TeamPCPの運営モデルが開発環境を標的にする手口

TeamPCPの被害者リストは、npm、PyPI、GitHub、その他のアウトソーシングされた開発者ツール上でオープンソースリポジトリを乗っ取り、本番環境で稼働する上流コードに組み込まれていく過程で拡大してきました。

開発者のノートパソコンをはじめとするソフトウェアのインストール・ビルド・公開を担うエンドポイントには、ソースコードへのキーやアクセス権限が広く存在しており、攻撃者にとって非常に価値の高いサプライチェーンの標的となっています。これはWizの攻撃ベクターインテリジェンスチームを率いるAmitai Cohen氏が、バージニア州アーリントンで開催されたSleuthConのTeamPCPに関する6月のプレゼンテーションで説明した内容です。

同グループはCIランナー（コードのビルド、テスト、公開を自動化するシステム）を標的とし、これらのランナーが管理するコードリポジトリにマルウェアを注入します。他の開発者が自身のシステムにそのコードを取り込む際、気づかないうちにマルウェアも一緒にダウンロードしてしまいます。

Pythonライブラリ、npmレジストリ、GitHub Actionsなどの成果物の中には、最新バージョンを常に取得するよう設定されたランナーを使用している数千人ないし数百万人の開発者に、ほぼ即座にダウンロードされるものもあるとCohen氏は述べています。「私たちセキュリティ業界は、それが正しい行いだと開発者に教えてきました。脆弱性からの保護を受けるために最新バージョンを使うべきであり、最新の機能を活用したいのは当然だ、と。」

まさにその本能こそ、TeamPCPが悪用しているものです。ある企業のCI/CDワークフローを侵害することで、同グループは感染したコードを自動的に取り込む全てのダウンストリームユーザーへのアクセスを得ます。「これこそが、[TeamPCP]がCI/CDワークフローに脆弱性を持つある企業、いわば『患者ゼロ』への初期アクセスを活用して、そのダウンストリームユーザーへのアクセスを獲得できる理由です」とCohen氏は説明します。「それがソフトウェアサプライチェーンの仕組みです。すべてが依存関係の上に依存関係を重ねています。」

TeamPCPに侵害されたパッケージの中には、約13時間にわたって本番環境に存在し続けたものもありましたが、セキュリティ担当者はコード注入攻撃をより迅速に検出できるようになっており、侵害されたリポジトリを15分以内に削除するケースも出てきているとWizの戦略インテリジェンスディレクター、Ben Read氏は述べています。

この脅威グループの活動はハイペースを維持しています。Wizの研究者によると、TeamPCPはほぼ毎日新たなソフトウェアパッケージに感染させ、24時間以内に侵害を確認して機密データを窃取しています。

同グループは戦術を継続的に進化させており、JavaScriptとPythonでペイロードを開発しながら、ローカルファイルからKubernetesのAPIや同梱ソフトウェア開発キットへと活動範囲を拡大してきました。最近では、カスタムプロトコルを用いた認証情報窃取も行っています。

防御の穴が攻撃の機会を生む

TeamPCPの一連の攻撃はまた、組織が侵害されたシークレットを失効させることの難しさも浮き彫りにしました。複数の被害者が繰り返し感染を経験しており、シークレットのローテーションを適切に行わなかったため、1カ月以内にTeamPCPの被害に3度遭ったケースもあるとCohen氏は述べています。

根本的なところで、これらの攻撃は組織が抱えるトレードオフを際立たせています。脆弱性を修正するためにソフトウェアを迅速に更新することと、その速度が速すぎると逆にマルウェアを含む不正なレジストリへの露出リスクが高まるという問題です。

TeamPCPはAboukhadijeh氏が「公共財」と表現するもの——完全ではないながらも広く信頼されており、サプライチェーン攻撃の起点になることはほとんどなかったオープンソースレジストリ——を標的にしてきました。

現時点でオープンソースソフトウェアを迅速にインストールすることは、組織が行える最も危険な行為の一つであると同氏は述べています。さらに、組織がインストールするパッケージが実際の攻撃を引き起こす確率は約10分の1にのぼる可能性があると付け加えています。

TeamPCPはさまざまな環境において、セキュリティスキャナー、パスワードマネージャー、自動化ツール、データ可視化ソフトウェア、CI/CDインフラを侵害してきました。

そして被害者から膨大な認証情報やその他の機密データを窃取しています。

Wizのような企業で当初からこの一連の攻撃を追跡してきたCohen氏らの研究者は、限界に近づきつつあります。

「これは私たちにとっても辛すぎます。私たちはとても疲弊しています。この問題に取り組んでいる多くの人が疲れているはずですし、もはや持続不可能な状況になってきています」とCohen氏は述べています。

「非常に広く普及しているパッケージが毎朝侵害され、みんながそれを当然のように使い続けているような世界に存在し続けることはできません」と同氏は続けます。「私たちはこの問題をもう少し真剣に受け止め始める必要があります。」