ISSコラム

column by iss

2026年4月の主な攻撃キャンペーン

2026.05.19

Axios npm供給網攻撃

4月に最も重要だった攻撃キャンペーンの一つは、Axios npmパッケージの供給網侵害です。AxiosはJavaScriptで広く利用されるHTTPクライアントで、報道では週1億回以上のダウンロード規模とも説明されています。このパッケージのメンテナアカウントが侵害され、悪性バージョンがnpmレジストリへ公開されています。Google研究者は北朝鮮系UNC1069との関連を示し、悪性バージョンは認証情報窃取マルウェアやクロスプラットフォームRATの配布の発端になり得たと報じられています。 

この攻撃の怖さは、悪性バージョンの公開時間が数時間に限られていたことでは影響を封じ込めできないことです。短時間でもグローバルなCI/CD環境が自動的に依存関係を取得するため、“数時間の汚染”が大量のビルド環境へ波及する可能性があります。ITProは、axios@1.14.1やaxios@0.30.3といった悪性バージョンが公開され、macOS、Windows、Linux向けのRATを配布したと報じ、影響組織に対して隔離、監査、シークレットローテーションを推奨しています。これは、単にpackage-lockを戻すことではなく、悪性バージョンを取得した可能性のある開発端末、ビルドサーバ、CIランナー上の資格情報を侵害済みとして扱う必要がることを示唆しています。 

さらにWindows Centralは、攻撃者がMicrosoft TeamsやSlackを用いた精巧なソーシャルエンジニアリングでAxiosメンテナを騙し、RATをダウンロードさせたと報じています。これは、OSSサプライチェーンの防御がnpm権限や2FAだけでは不十分で、メンテナ本人へのなりすまし、会議招待、開発者端末侵害まで含む総合的な防御を必要としていることを示しています。4月のAxios事案は、開発パイプラインが“新しい境界”であり、攻撃者がそこへ明確に投資していることを示しています。

Signal利用者を狙う政治・外交系フィッシング

4月後半には、Signalを利用する高官、外交官、軍関係者、記者を狙ったフィッシング活動が報じられました。Reutersは、ドイツ当局がSignalユーザーを標的にした大規模フィッシングについて捜査を開始したと報じており、さらにドイツ政府がロシア関与の可能性を見ていると伝えています。APも、偽のSignalサポートボットなどを使い、約300アカウント規模で標的化が行われたと報じています。 

このキャンペーンの特徴は、Signal自体の暗号を破るのではなく、ユーザーの信頼操作と再登録・サポートの導線の悪用でアカウントを奪う点にあります。セキュアメッセージングアプリは、技術的にはエンドツーエンド暗号化を提供しますが、ユーザーが偽サポートや偽QRコード、偽再認証に応じれば、攻撃者は別デバイス連携やアカウント移行の文脈で会話・連絡網・メタデータを取得してしまいます。高官・外交・軍関係者が標的である以上、目的は単なる個人情報窃取ではなく、政策・軍事・外交情報の収集、交友関係の把握、次の標的選定だと考えらます。

企業や政府組織にとっての示唆は、セキュアアプリを指定するだけでは不十分だということです。安全な利用手順、再登録手順、サポート窓口の確認方法、QRコード認証時の本人確認、管理対象外端末の利用制限まで定める必要があります。特に高リスク部門では、メッセージングアプリのセキュリティ教育を、フィッシング訓練と同等の優先度で扱うべきです。

TeamPCPと開発・クラウド供給網侵害

4月は、Axiosだけでなく、Trivy、Checkmarx KICS、LiteLLM、Telnyx Python SDKなどを巡る供給網侵害の文脈で TeamPCP が注目されました。CERT-EUは、欧州委員会のクラウド侵害について、Trivyサプライチェーン侵害により得られたAWS APIキーが初期侵入に使われた可能性が高いと評価し、MicrosoftやUnit 42も関連活動を整理しています。これは、OSSやセキュリティツールの侵害が、クラウド管理面の実侵害へ直接波及した例として重要です。 

TeamPCP型の攻撃の本質は、個別のパッケージ汚染ではなく、開発者、リポジトリ、CI/CD、クラウド鍵、署名・配布フローの接続点を辿ることにあり、セキュリティスキャナや開発支援ツールは、内部コードやクラウド設定へ広い権限を持つ場合があるため、攻撃者にとって極めて魅力的な足場となります。4月時点での防御は、SBOMや依存関係一覧だけではなく、CI/CD内のシークレット分離、短期資格情報化、外部アクションの許可制、ビルド時ネットワーク通信の制限、署名資材のオフライン保護まで含める必要がありました。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供するサイバーインシデント、サイバー攻撃、脅威インテリジェンス、脆弱性の各種情報は、全ての情報を対象にせず、ISSが独自の基準で判断して掲載しております。

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。