インシデントの要点と情シス視点の論点
Axiosのメンテナーアカウントが侵害され、npmで正規更新に見せかけたマルウェア混入が起こり得る状況が問題化した。攻撃者はコードレビューを迂回し「配布権限」を奪うことで、利用組織へ自動的に侵入する導線を作る。人気パッケージほど下流依存が広く、直接利用していないシステムにも波及する。情シスは開発部門任せにせず、依存関係管理とクラウド運用を一体のリスクとして扱うべきである。
クラウド侵害に直結する理由:CI/CDとシークレット
供給網攻撃が深刻化するのは、CI/CDやコンテナ実行環境に高価値なシークレットが集約されるためだ。クラウドAPIキー、Gitトークン、レジストリ資格情報、DB接続情報などが環境変数や設定に置かれやすい。悪性パッケージはpostinstall等のスクリプトや起動時ロードで情報窃取を行える。外向き通信が許容されていると流出が検知されにくく、侵害は権限昇格や不正課金に連鎖する。
優先度高の予防策:更新統制・権限最小化・通信制御
まずロックファイルを厳格運用し、CIで依存解決を固定して意図しない更新取り込みを防ぐ。自動更新PRは自動マージせず、差分レビューとテスト、SBOM更新を必須ゲートにする。次にCI/CDの権限を最小化し、長期キーを避けてOIDC等の短期クレデンシャルへ移行する。加えてビルド環境の外向き通信を許可制にし、想定外のDNS/HTTP通信を監視することが効果的だ。
影響確認と初動対応:封じ込めを最優先
影響が疑われる場合は、該当パッケージとバージョンがビルド成果物や本番へ入ったかをロックファイル、SBOM、アーティファクトから確認する。並行してCIログ・実行ログを調査し、不審な外部通信やトークン使用痕跡を洗う。最重要はシークレットのローテーションで、クラウド/SaaS/Git/レジストリの資格情報を速やかに無効化する。クラウド監査ログで不審操作を探索し、一時的な権限縮小と追加監視で被害拡大を止める。