🛡 概要
最近、Armis Labsによって報告された悪意のある活動が、GitHub Actionsや人気のWordPressプラグインGravity Forms、npmツールに影響を及ぼしていることが明らかになりました。これらのツールは、テクノロジー、金融、ヘルスケア、政府、小売、製造などの分野で広く使用されており、北米、ヨーロッパ、APAC地域において重要な供給網リスクをもたらしています。特に、これらのセキュリティ問題はCISAの既知の悪用脆弱性カタログには登録されていないことが指摘されています。
これらの攻撃は、ソフトウェア供給網の脅威の危険性を示しており、信頼されているツールが攻撃の対象となる可能性があることを示唆しています。防御者は、早期警戒情報や行動分析を活用し、脅威が本番環境に到達する前に検出する必要があります。
🔍 技術詳細
最初の注目すべき悪用は、2024年11月から2025年3月にかけてGitHub Actionsに関連して発生しました。攻撃者は、reviewdog/action-setup@v1というGitHub Actionのバージョンタグを変更し、自らの悪意のあるコードを指し示しました。これにより、このアクションを使用しているプロジェクトは自動的に攻撃者のコードを実行することになりました。
また、攻撃者は個人アクセストークン(PAT)を取得し、tj-actions/changed-filesというアクションに書き込みアクセスを得ました。信頼された更新ボットとして偽装し、アクションのindex.jsファイルに自らのコミットをプッシュし、これが自動的に受け入れられました。最終的に、すべてのバージョンが悪意のあるコードを指すように「強制タグ付け」され、最大23,000のGitHubリポジトリが影響を受けました。この問題は現在解決されており、コミット署名や保護されたブランチなどの対策が講じられました。
⚠ 影響
UAParser.jsやGravity Formsにおける悪用も深刻な供給網問題を引き起こしています。特にUAParser.jsは、ユーザーのシステム情報を抽出するために多くの開発者に利用されており、毎週1600万回以上ダウンロードされています。2025年4月から7月の間に、攻撃者が開発者の認証情報を手に入れ、UAParser.jsの特定のバージョンを汚染しました。これにより、npm installを使用するプロジェクトでマルウェアが実行される可能性がありました。
Gravity Formsに対しても攻撃が行われ、バージョン2.9.11と2.9.12に秘密のバックドアコードが注入されました。このプラグインは、世界中で65万から93万のウェブサイトで使用されており、攻撃の影響は広範囲に及ぶ可能性があります。
🛠 対策
供給網リスクに対処するためには、開発者や企業は以下の対策を講じる必要があります。まず、GitHub ActionsのようなCI/CDツールにおいては、信頼性の高いコードの使用と、コミット署名や保護されたブランチの導入が重要です。また、npmパッケージの使用時には、信頼できるソースからのものであることを確認し、定期的な監査を実施することが推奨されます。
さらに、開発チームは脆弱性スキャンツールを使用して、依存関係に潜むリスクを早期に発見し、対策を講じることが求められます。最後に、セキュリティ教育を通じて、チーム全体でセキュリティ意識を高めることも不可欠です。これにより、今後の供給網リスクを軽減することが期待されます。
