2026-05-13
TeamPCPのサプライチェーン攻撃の分析
本研究では、2026年4月22日のCheckmarx KICSおよび4月24日のelementary-dataの事件を、TeamPCPのサプライチェーンキャンペーンの一環として分析しました。両ケースでは、攻撃者が信頼されたCI/CDおよびリリースワークフローを悪用し、大規模な資格情報の窃取を行いました。KICS攻撃では、Docker Hub、VS Code/OpenVSX、GitHub Actionsを通じてマルチチャネルの汚染が行われ、盗まれたnpmトークンを使用して@bitwarden/cliのダウンストリームハイジャックが実施されました。elementary-dataでは、GitHub Actionsのスクリプトインジェクションを利用して、プロジェクト自身のリリースパイプラインをトリガーし、正当なCIによって署名された悪意のあるパッケージがPython Package Index(PyPI)およびGitHub Container Registry(GHCR)に公開されました。このキャンペーンは、大規模な資格情報の窃取を目的としています。
メトリクス
このニュースのスケール度合い
5.0
/10
インパクト
7.0
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ TeamPCPは、信頼された開発ツールチェーンを悪用して資格情報を窃取するキャンペーンを展開しています。
- ✓ 攻撃者は、CI/CDパイプラインの信頼を利用して、開発者の資格情報を大規模に収集しています。
社会的影響
- ! この攻撃は、開発者や企業にとって重大なリスクをもたらし、信頼されたツールやプロセスが悪用される可能性を示しています。
- ! 資格情報の窃取は、企業のセキュリティに深刻な影響を与え、顧客データの漏洩や経済的損失を引き起こす可能性があります。
編集長の意見
TeamPCPのサプライチェーン攻撃は、現代のソフトウェア開発におけるセキュリティの脆弱性を浮き彫りにしています。特に、CI/CDパイプラインの信頼性が攻撃者によって悪用されることは、開発者や企業にとって深刻な警鐘です。攻撃者は、信頼されたアーティファクトを利用して、開発者の資格情報を窃取し、迅速に悪用することができます。このような攻撃は、開発者が使用するツールやプロセスに対する信頼を損なう可能性があり、結果として企業のセキュリティポリシーの見直しを促すでしょう。今後、企業はCI/CDパイプラインのセキュリティを強化し、最小権限の原則を徹底する必要があります。また、開発者は、使用するツールやライブラリの信頼性を常に確認し、脆弱性が報告された場合には迅速に対応することが求められます。さらに、教育やトレーニングを通じて、開発者がセキュリティ意識を高めることも重要です。これにより、攻撃者の手法に対抗するための防御策を強化し、企業全体のセキュリティを向上させることができるでしょう。
背景情報
- i TeamPCPは、2026年3月19日から4月24日までの間に、少なくとも7つの異なる波を持つサプライチェーン攻撃を実施しました。攻撃者は、開発者ツールチェーン内の信頼されたアーティファクトを悪用し、配信チャネルを汚染して資格情報を収集します。
- i KICS攻撃は、Docker Hub、VS Code/OpenVSX、GitHub Actionsの3つの配信チャネルを同時に汚染し、複雑なオペレーションを展開しました。一方、elementary-data攻撃は、GitHubのプルリクエストのコメントを利用して、プロジェクトのCIを攻撃者のリリースチャネルに変えるという技術的にシンプルな手法を用いました。