Security News Daily

EU委員会300GB侵害とAxios npm乗っ取り - 国家支援攻撃とサプライチェーンの二重脅威

EU委員会で300GBのデータ侵害が発生、Trivyサプライチェーン攻撃が原因。一方、人気npmパッケージAxiosが北朝鮮の高度ソーシャルエンジニアリングで乗っ取られ、悪意あるバージョンが公開された。さらにOAuthデバイスコードフィッシングが37倍に急増し、認証インフラ全体に新たな脅威が迫る。

サプライチェーン攻撃国家支援攻撃OAuth認証ソーシャルエンジニアリングnpmセキュリティ

今日のハイライト

本日のセキュリティニュースは、国家レベルの脅威アクターと商業化されたサイバー犯罪の両面から開発者インフラと認証システムを標的とする動きが顕著です。EU委員会における300GBの大規模データ侵害と、北朝鮮による人気npmパッケージAxiosの乗っ取りは、サプライチェーン攻撃の深刻化を示す一方、OAuthデバイスコードフィッシングの37倍という爆発的な増加は、認証フロー設計の根本的な弱点が悪用されている現状を浮き彫りにしています。

1. European Commission Confirms Data Breach Linked to Trivy Supply Chain Attack

概要

EU委員会が、Trivyサプライチェーン攻撃を通じてAWS環境から300GB以上のデータが窃取されたことを確認しました。漏洩データには個人情報が含まれており、政府機関のクラウドインフラに対する標的型攻撃の成功例として重大な懸念をもたらしています。

考察

  • 影響を受ける組織が取るべき具体的対策: 政府機関および大規模組織は、AWS環境のIAM設定とCloudTrailログの即時見直しを実施すべきです。特に、サプライチェーンツール(Trivyなどの脆弱性スキャナー)がCI/CDパイプライン内で持つ権限を最小化し、コード署名検証とSBOM(ソフトウェア部品表)の自動検証を導入することが急務です。侵害検知後は、窃取された認証情報の即時ローテーションと、影響を受けた個人への通知プロセスの起動が必要です。

  • 攻撃手法の技術的背景や攻撃者の動機: Trivyはコンテナイメージの脆弱性をスキャンする広く使用されているOSSツールであり、CI/CD環境に深く組み込まれているため、攻撃者にとって高価値な標的となります。AWS環境から300GBという大量のデータ窃取は、おそらくS3バケットやRDSスナップショットへの広範囲アクセスが可能であったことを示唆しており、クラウドセキュリティ設定の誤設定とサプライチェーン攻撃の組み合わせが致命的な結果を招きました。国家機関を標的とするこの攻撃は、経済スパイまたは戦略的情報収集が目的と考えられます。

  • 業界トレンドとの関連性: SolarWindsやCodecovの事例に代表されるサプライチェーン攻撃が、DevOpsツールチェーン全体に拡大しています。特に脆弱性スキャナーなどの「セキュリティツール」自体が攻撃経路となるという逆説的な状況は、Zero Trustアーキテクチャにおいても「ビルドパイプラインの信頼」という新たな課題を提起しています。

参照元

2. Axios npm hack used fake Teams error fix to hijack maintainer account

概要

人気HTTPクライアントライブラリ「Axios」のメンテナーアカウントが、北朝鮮の脅威アクター(UNC1069)による高度なソーシャルエンジニアリング攻撃により乗っ取られました。攻撃者は偽の企業を装いSlackワークスペースを構築し、偽のMicrosoft Teamsミーティングで「エラー修正」としてRAT(リモートアクセストロイ)をインストールさせることでnpm認証情報を窃取しました。悪意あるバージョン(1.14.1と0.30.4)はnpmレジストリに約3時間公開され、インストールされたシステムにWAVESHAPER.V2 RATを展開しました。

考察

  • 影響を受ける組織が取るべき具体的対策: Axiosのバージョン1.14.1または0.30.4をダウンロードした可能性がある組織は、直ちに依存関係を検証し、該当バージョンが含まれていればすべての認証情報とAPIキーをローテーションしてください。また、開発者のワークステーションを含む全システムの侵害調査(IoCスキャン)を実施する必要があります。開発チームに対し、ビデオ会議ツールの「エラー修正」などを理由としたソフトウェアインストール要求を絶対に受け入れないよう緊急教育を行い、MFA(多要素認証)の強制とnpmパブリッシュのためのハードウェアセキュリティキーの導入を検討してください。

  • 攻撃手法の技術的背景や攻撃者の動機: この攻撃は「偽の採用面接」や「協力依頼」を装った北朝鮮の典型的な手法を進化させたものです。特に、本物の企業のCIを模倣したSlackワークスペースと、他のOSSメンテナーを装った偽プロフィールを配置する「長期潜伏型」のアプローチは、従来の即座のフィッシングとは異なり、標的の疑念を払拭する心理操作が高度化しています。UNC1069は2018年から活動する金銭目的の北朝鮮系グループであり、暗号資産窃取やIT業界への潜入を目的としています。Axiosの週間ダウンロード数が数千万回規模であることを考えると、サプライチェーン攻撃による広範囲な被害が意図されていたと考えられます。

  • 業界トレンドとの関連性: npmエコシステムにおけるメンテナーアカウントの乗っ取りは、単一の失敗点(SPOF)として全体のセキュリティを崩壊させるリスクを示しています。GitHubやnpmの2FA導入は進んでいますが、ソーシャルエンジニアリングによるエンドポイント侵害はMFAを迂回可能です。オープンソースプロジェクトの「バスファクター(緊急時に影響を与える人の数)」の低さと、メンテナーの疲労・燃え尽き症候群を悪用した標的型攻撃は、今後増加する明確なトレンドです。

参照元

3. Device code phishing attacks surge 37x as new kits spread online

概要

OAuth 2.0のデバイス認可フロー(Device Authorization Grant)を悪用したフィッシング攻撃が、2026年に入って37倍以上に急増しています。攻撃者はIoT機器やスマートTVなど入力手段に制限のあるデバイス向けに設計されたこの認証フローを悪用し、被害者に「デバイスコード」を入力させてアカウントを乗っ取ります。EvilTokensをはじめとする複数のフィッシング・アズ・ア・サービス(PhaaS)キットが出現し、この手法の民主化(スクリプトキディ化)が進行しています。

考察

  • 影響を受ける組織が取るべき具体的対策: 組織はAzure ADやOktaなどのIdP設定で、デバイスコードフローの使用を厳格に監査し、不要であれば無効化してください。ユーザー教育においては、「電子メールやSMSで送られてきた数字コードをMicrosoftやGoogleの認証ページに入力しない」という認識を徹底させる必要があります。特に、MFAが有効なアカウントでもこの攻撃は有効であるため、デバイスコードフローに対する条件付きアクセスポリシー(信頼できるネットワークからのみ許可など)の導入を検討してください。

  • 攻撃手法の技術的背景や攻撃者の動機: 通常のOAuthフローでは、ユーザがクライアント(アプリ)を信頼して認可しますが、デバイスコードフローでは、別の端末(攻撃者の端末)が認可されるという特殊性を悪用します。攻撃者はまずデバイスコードを取得し、それを被害者に送って入力させ、取得したアクセストークンとリフレッシュトークンを用いて永続的にアクセスを維持します。EvilTokens、VENOM、SHAREFILEなどのPhaaSキットが出現したことで、技術的知識を持たない犯罪者でもMicrosoft 365、Adobe、DocuSignなどの企業向けSaaSアカウントを標的にできるようになりました。

  • 業界トレンドとの関連性: 従来のAiTM(Adversary-in-The-Middle)フィッシングに代わる新たな認証迂回手法として、デバイスコードフィッシングが急速に標準化しています。特に、リフレッシュトークンの長期有効性を悪用するこの手法は、MFA疲労攻撃(MFA Fatigue)よりも静かに、かつ確実にアクセスを維持できます。PhaaS市場の細分化(EvilTokensのクローンであるVENOM、SharePointテーマのCLURE、TeamsテーマのLINKIDなど)は、攻撃者間の競争と市場の成熟を示唆しており、法執行機関による一つのキットの摘発だけでは全体の抑制には不十分です。

参照元

4. Black Hat USA

概要

Black Hat USA 2026の開催情報が発表されました。ラスベガスで開催されるこの年次セキュリティカンファレンスは、最新の攻撃技術研究と防御策の発表の場として知られています。

考察

  • 業界トレンドとの関連性: 本日報告されたEU委員会侵害やAxios攻撃など、国家レベルの脅威とサプライチェーン脆弱性が焦点となっている現状において、Black Hat USAではこれらの高度な持続的脅威(APT)やサプライチェーン攻撃の詳細な技術解析が発表されることが期待されます。特に、OAuthやCI/CDパイプラインの脆弱性に関するブリーフィングは、実務者にとって即座の対策に繋がる重要な機会となるでしょう。

参照元

まとめ

2026年4月5日のニュースは、国家支援攻撃者と商業化されたサイバー犯罪者が、それぞれ異なるレイヤーでインフラを侵食している現状を鮮明に映し出しています。北朝鮮のUNC1069がAxiosメンテナーを標的にした事例は、ソーシャルエンジニアリングの「品質」が飛躍的に向上し、技術的なセキュリティ対策(MFAなど)だけでは防ぎきれない脅威を示しています。同時に、EU委員会の侵害は、政府機関であろうとクラウド設定のミスとサプライチェーンの脆弱性が組み合わされば大規模なデータ漏洩が起こることを示唆しています。

さらに、OAuthデバイスコードフィッシングの37倍急増は、認証プロトコルの設計段階での「使い勝手とセキュリティのトレードオフ」が、いかに悪用されるかを示しています。今後注視すべきポイントは、PhaaSキットのさらなる自動化と、それによる低スキル脅威アクターの参入障壁低下です。組織は、開発者のセキュリティ意識教育の再強化と、レガシーな認証フローの見直しを並行して進める必要があります。

参照元