出典: Summit Art Creations via Shutterstock
Trivyセキュリティスキャナープロジェクト、広く使用されているAxios JavaScriptパッケージ、およびAnthropicの旗艦製品Claude Codeのソースコード偶発公開など、さまざまなオープンソースプロジェクトを対象とした洗練されたサイバー攻撃がわずか10日間で発生し、ソフトウェアサプライチェーンにもたらされるリスクが浮き彫りになっている。
攻撃者は誤設定されたGitHub Actionと開発チームのインシデント復旧失敗を悪用して、必要な認証情報を入手し、悪意あるコード展開を実行した。リード保守者のアカウント侵害はバックドア型トロイの木馬が開発環境に潜入する事態につながった。その他の侵害には、サイバーセキュリティ企業Checkmarxが保守するKICS静的コード分析ツール、オープンソースのLiteLLM Pythonライブラリが含まれる。そしてもちろん、Anthropic Claude Code npmパッケージのソースコード50万行以上を公開した人的エラーもある。
エージェント型AI セキュリティ企業Straikerのフルスタックエンジニア、Jun Zhouによると、開発者環境と開発パイプラインが主要な脆弱性の表面となっている。同社はAnthropicインシデントの分析を公開した。
「開発者ワークステーションは認証情報が豊富で信頼度の高い、可視性の低いゾーンであり、その内部で動作するAIコーディングエージェントは露出を増幅している」と彼は述べている。「Claude Codeは実行時に25以上のbashセキュリティバリデータを備えていた。これは本当に洗練されたセキュリティエンジニアリングだ。しかし公開レジストリに59.8MBのソースマップを配布してしまった。なぜなら公開プロセスに基本的なコンテンツチェックがなかったからだ。」
Anthropicはこの流出を認め、GitHubのほぼ100件のミラーに著作権侵害通知を送付した。一方、AIエージェントを使ってコードをPythonとRustに変換・翻訳したユーザーなど、他の者がソフトウェアをホスティングし続けることを許可した。Checkmarxはこのオープンソース静的解析ツールKICSのGitHub actions経由での侵害を認め、開発者に対してシークレットの失効・ローテーション、およびGitHub Actionsパイプラインで疑わしい指標を確認することを呼びかけた。
しかし問題は、攻撃者がオープンソースソフトウェアのゼロデイ脆弱性を発見するといった一度限りの問題には収まらない。むしろこれはエコシステムの共通の弱点だと、Google傘下のクラウドサイバーセキュリティ企業Wizの主任セキュリティ研究者Rami McCarthyは述べている。各インシデントは異なる失敗から生じたようだ。誤設定されたGitHub Actions、保守者への社会工学的詐欺、認証情報管理の崩壊である。しかし実際の問題は後続の影響の連鎖だと彼は言う。
「オープンソース保守者のボランティア活動に大きく依存するグローバルソフトウェアインフラを構築してしまった。これにより信じられないほど不均一なセキュリティサーフェスが生まれている」とMcCarthyは述べている。「攻撃者が推移的依存関係の連鎖の最弱のリンクを狙う場合、ダウンストリームの影響は莫大であり、『単純な』修正が複雑なエコシステム全体の調整問題になる。」
継続的インテグレーション、継続的曝露?
これらのインシデントは、攻撃者が継続的インテグレーション・継続的デプロイメント(CI/CD)環境をターゲットにしているという現実を浮き彫りにしている。複雑なエコシステムは機密認証情報を保護するだけでなく、信頼できる配布経路を管理する必要がある。これにより、マルウェアは特定のオープンソースプロジェクトを組み込むすべてのソフトウェアにダウンストリームにプッシュされる可能性があるとMcCarthyは述べている。
「サプライチェーンは重要なインフラストラクチャとして扱われるべきであり、すべてのレイヤーに制約が組み込まれていなければならない」と彼は述べている。「これは保守者と公開に関するより強力なセキュリティ、信頼されない依存関係を想定するCI/CD環境、および異常なパッケージの動作を迅速に表面化できるエコシステム全体の検出を意味する。」
その結果、単一の侵害がエンタープライズシステム全体に大規模な被害をもたらす可能性がある。例えばTrivyの侵害の後、攻撃者は素早く初期アクセスを拡張し、追加の認証情報を収集し、サービス全体に横方向に移動し、悪意あるコードを拡散させた。一方、70,000以上の直接依存関係を持つAxiosの侵害の「影響範囲」は、McCarthyによると、おそらく大規模な潜在的な悪影響につながるだろう。
1つの問題は、開発チームがコードから脆弱性を排除したいという願いを、すべてのオープンソースコンポーネントを最新バージョンに更新することと同じであると解釈したことだ。しかし過去の研究によると、以前のバージョンはしばしば修正されたコードと既知の脆弱性が少ない正しい組み合わせを持っていることが分かっている。実際には、3番目に最新なバージョンが平均的に最も安全であることが多い。
開発チームのこのアプローチは「人気のある重要なコンポーネントの侵害がそのエコシステムにすぐに入る相当な可能性がある」ことを意味するとソフトウェアセキュリティ企業Black Duckのソフトウェアサプライチェーンリスク戦略責任者Tim Mackeyは述べている。2025年には、組織の65%近くが過去12ヶ月間にソフトウェアサプライチェーン攻撃の被害者であることを認めているとBlack Duckの「オープンソースセキュリティおよびリスク分析」(OSSRA)レポートによると述べている。
「即座のパッチ適用は合理的に見えるが、実際にはチームは開発プロセスのリスクベースの分析を実行する必要がある[Axios攻撃の影響は特にコンテナイメージに関しては今後しばらく続く可能性がある]」と彼は述べている。
広がる影響
ソフトウェアサプライチェーン侵害の問題は、インシデント対応が完全でない場合、将来大きな影響をもたらす可能性があることだ。例えばAnthropicの流出の場合、Claude Codeのコンテキストパイプライン、サンドボックス境界、権限バリデータの完全なアーキテクチャが公開され、攻撃者にコンテキスト圧縮を通じて持続し、セキュリティチェーンのギャップをターゲットにするペイロードを作成するための青写真を与えてしまったとStraikerのAIレッドチームメンバーJesus Ramonは述べている。
この流出は、AI開発ワークフローがその周辺のセキュリティプラクティスより速く進んでおり、より広い影響を与える可能性があることを示していると彼は述べている。
「従来の侵害されたパッケージは限定されたランタイムで実行される。しかしコーディングエージェントはあなたのファイルシステム全体、シェル、ネットワーク、MCP サーバにアクセスでき、影響範囲は開発者ワークステーション全体である」とRamonは述べている。「AIエージェントはまた、新しいクラスの攻撃永続性をもたらす。中毒された命令はコンテキスト圧縮を通じて生き残り、モデルが正当なディレクティブとして扱うものとして再出現し、その後プルリクエストと本番コードに流入する可能性がある。」
企業はCI/CDパイプラインを機密認証情報へのアクセスを制限することで保護することに焦点を当てる必要があり、同時に強力なシークレット管理プラクティスを実装する必要がある。さらに、開発者は依存関係を検証・チェックして、悪意あるコードをできるだけ早期に検出する必要があるとMcCarthyは述べている。
