なぜ今、サプライチェーン攻撃が急増しているのか
フォレンジックアナリストとして数多くのインシデント対応に携わってきましたが、2025年9月は特にサプライチェーン攻撃の報告が集中した月でした。わずか1週間で20億ダウンロードを記録する人気npmパッケージが侵害されるなど、その被害規模は過去に例を見ないレベルです。
私が実際に対応した中小企業のケースでは、従業員がダウンロードした「安全だと思っていた」開発ツールが実は侵害されたパッケージで、社内の暗号資産ウォレットから数百万円が盗まれた事例もありました。もはやサプライチェーン攻撃は「大企業だけの問題」ではありません。
2025年9月に発生した主要なサプライチェーン攻撃事例
1. 史上最大級のnpmパッケージ侵害事件
AikidoとSocketの研究者により発見されたこの攻撃は、サプライチェーン攻撃の恐ろしさを改めて浮き彫りにしました。
被害の詳細:
- 18件のnpmパッケージに有害なコードが埋め込まれた
- 1週間で計20億ダウンロードという驚異的な拡散
- ブラウザ内の暗号資産やWeb3.0アクティビティを密かに傍受
- ウォレットの支払い先を攻撃者のアドレスに書き換え
メンテナのJosh Junon氏(通称「Qix」)がフィッシング攻撃の被害に遭ったことが原因でした。これは私がよく企業研修で話す「人的脆弱性」の典型例です。どんなに技術的なセキュリティ対策を講じても、人間が騙されてしまえば全てが水の泡になってしまいます。
2. GPUGate攻撃 – 新たな回避手法の登場
Arctic Wolfの研究者が発見した「GPUGate」は、従来のセキュリティ対策を巧妙に回避する新しい攻撃手法です。
GPUGate攻撃の特徴:
- GitHubのリポジトリ構造とGoogle広告を悪用
- 偽装ドメインでホストされた有害ファイルを配布
- Microsoftソフトウェアインストーラーのファイルサイズを128MBに増加させ、既存のサンドボックスを回避
- GPUを使った復号ルーチンにより、物理GPU未搭載システムでは検知困難
- 西ヨーロッパの組織・企業、特にIT部門を標的
実際に私が調査したケースでは、ある中小IT企業でこの攻撃の亜種による被害が発生しました。従業員がGoogle広告経由で「信頼できるソフトウェア」をダウンロードしたところ、実はGPUGate攻撃の変種だったのです。幸い早期発見できましたが、もし発見が遅れていたら機密情報の大規模漏洩につながっていた可能性があります。
3. GhostAction攻撃 – 817のリポジトリが被害
GitGuardianが発見した「GhostAction」攻撃は、GitHub上で展開された大規模なサプライチェーン攻撃です。
GhostAction攻撃の概要:
- 327人のGitHubユーザーに影響
- 817件のリポジトリが侵害
- 3,325件のシークレット(PyPI、npm、Docker Hubトークンなど)が窃取
- 正当なワークフローファイルからシークレットを列挙し、有害なワークフローに注入
- Python、Rust、JavaScript、Go言語の複数リポジトリに同時影響
この攻撃の恐ろしい点は、開発者が日常的に使用するGitHubの正当な機能を悪用していることです。私が対応した企業の中には、この攻撃により社内のAPIキーが漏洩し、クラウドサービスの不正利用で数十万円の請求が発生したケースもありました。
個人・中小企業が今すぐ取るべきサプライチェーン攻撃対策
1. 基本的なセキュリティソフトの導入は必須
まず最低限として、信頼できるアンチウイルスソフト
の導入は欠かせません。特に最新の脅威に対応した製品を選ぶことが重要です。GPUGate攻撃のような新しい手法にも対応できる製品を選びましょう。
2. VPNによる通信の保護
特にリモートワーク環境では、VPN
の使用が重要になります。攻撃者は通信を傍受してフィッシング攻撃を仕掛けることも多いため、通信経路の保護は必須です。
3. 開発環境のセキュリティ強化
開発者がいる企業では、以下の対策が重要です:
- npmパッケージやライブラリの定期的な脆弱性チェック
- コードリポジトリへのアクセス権限の適切な管理
- 二要素認証の必須化
- 不審なワークフローファイルの監視
4. Webサイトを運営している企業の対策
自社でWebサービスを運営している企業では、Webサイト脆弱性診断サービス
の定期実施が重要です。サプライチェーン攻撃は、しばしば企業のWebサイトを攻撃の踏み台として利用するからです。
EoL機器への攻撃も急増中
Eclypsiumの研究者は、サポート終了(EoL)を迎えた旧型ネットワーク機器を狙った攻撃の急増も報告しています。
標的となっている機器:
- Cisco Small Business RVシリーズ
- Linksys LRTシリーズ
- Araknis Networks(AN-300-RT-4L2W)ルーター
私が対応したある小規模事業所では、10年以上前のルーターがボットネットに組み込まれ、他の企業への攻撃の踏み台にされていました。被害企業からの損害賠償請求のリスクもあるため、古い機器の放置は非常に危険です。
Facebook広告を悪用したブラウザ拡張機能攻撃
Bitdefenderが発見したFacebook上のマルバタイジングキャンペーンも見逃せません。
攻撃の手口:
- 正規版に見せかけたブラウザ拡張機能の動画チュートリアルを配信
- Facebook認証チェックマークや特別機能をエサに誘導
- AI生成されたコードによるブラウザ拡張機能をインストール
- FacebookのセッションCookieやIPアドレスを窃取
- 盗んだアカウントをTelegramチャンネルで販売
実際に私が相談を受けた個人事業主の方は、このような偽の拡張機能をインストールしてしまい、Facebookページを乗っ取られて顧客への詐欺に悪用されました。個人の信頼関係にも大きな影響を与える深刻な問題です。
まとめ:サプライチェーン攻撃は他人事ではない
2025年9月に発生した一連のサプライチェーン攻撃は、もはやサイバーセキュリティが「大企業だけの問題」ではないことを改めて証明しました。個人事業主から中小企業まで、誰もが標的になりうる時代です。
現役のフォレンジック専門家として強調したいのは、「完全な防御は不可能だが、適切な対策で被害を最小限に抑えることは可能」だということです。基本的なセキュリティソフトから始まり、状況に応じてVPNやWebサイト脆弱性診断サービスの活用も検討しましょう。
特に開発に関わる企業では、今回紹介したような攻撃手法について従業員への教育を行い、不審なパッケージやワークフローファイルに対する警戒心を高めることが重要です。
「うちは小さい会社だから大丈夫」という考えは、もはや通用しません。攻撃者は大企業への侵入経路として中小企業を狙うことも多く、被害規模に関係なく法的責任や賠償リスクも発生します。
今すぐできることから始めて、段階的にセキュリティレベルを向上させていくことが、これからの時代を生き抜くための必須条件と言えるでしょう。
