Packet Pilot X (Twitter)
2026-05-28

CrowdStrikeとGoogleがオープンソース開発者を狙ったボットネットを排除

CrowdStrikeとGoogleは、オープンソースソフトウェア開発者を狙ったボットネット「Glassworm」を排除しました。このボットネットは、開発者のパスワードを盗むためにマルウェアを配布していました。攻撃者は、開発者の信頼を利用して悪意のあるソフトウェアを企業に送り込む手法を用いていました。CrowdStrikeは、ボットネットの指揮命令サーバーを4つ排除し、感染したコンピュータへのアクセスを遮断しました。これにより、さらなるマルウェアの配布を防ぐことができました。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

7.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.0 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • CrowdStrikeとGoogleは、オープンソース開発者を狙ったボットネットを排除しました。
  • 攻撃者は、開発者の信頼を利用してマルウェアを配布していました。

社会的影響

  • ! オープンソースソフトウェアの信頼性が問われる事態となりました。
  • ! 開発者のセキュリティ意識が高まることが期待されます。

編集長の意見

今回のボットネット排除は、サイバーセキュリティの重要性を再認識させる出来事です。特にオープンソースソフトウェアは、多くの企業にとって基盤となる技術であり、その安全性が脅かされることは大きなリスクを伴います。攻撃者が開発者をターゲットにする手法は、今後ますます一般化する可能性があります。開発者は、自身のアカウントや開発環境のセキュリティを強化する必要があります。また、企業はオープンソースソフトウェアを利用する際に、信頼できるソースからのコードを使用することが重要です。さらに、サイバー攻撃に対する教育やトレーニングを強化し、開発者が攻撃に対する認識を高めることが求められます。今後も、サイバー犯罪者は新たな手法を用いて攻撃を仕掛けてくるでしょう。したがって、セキュリティ対策を常に更新し、最新の脅威に対応できる体制を整えることが重要です。

解説

CrowdStrikeとGoogleがGlasswormを共同無力化——開発者アカウント起点の供給網攻撃を遮断した意味

今日の深掘りポイント

  • 供給網攻撃は「コード」よりも「人の信頼」を踏み台にします。開発者アカウントとCIの境界を守ることが、最短の防波堤になります。
  • C2の4拠点無力化は、攻撃連鎖の“現在進行形”を止める効果が高い一方で、再構築可能性への備え(復帰・模倣)を前提に監視と強制力を維持する必要があります。
  • 300件超のリポジトリ汚染は、個々のOSSでは“小粒”でも、組織の依存関係グラフ上では“大規模”に見える現実を示します。SBOMとプロベナンス検証を“実運用”で回す組織だけが、連鎖侵害の広がりを止められます。
  • 現場視点の優先度は高いです。新規性は十分、即応性も高く、対策は手元のプラクティスで着手できます。いまのうちに「開発者IDを守る運用」を標準化しておくべきです。

はじめに

OSSの強みは透明性と再利用性ですが、その裏返しで「信頼」が最大の脆弱性にもなります。本件は、開発者の認証情報を狙い、リポジトリを汚染し、企業の内側へ悪意のコードを滑り込ませる典型的な供給網攻撃の実例です。CrowdStrikeとGoogleが連携してC2を無力化し、感染端末からのアクセスを遮断したことで、攻撃の拡張をいったん止めることに成功しました。問題は、これは個別事件ではなく、開発者という「新しい境界」を狙う攻撃の地続きにあるという点です。今日の深掘りでは、事実を整理しつつ、現場の運用に落とし込める差分のある示唆をお届けします。

深掘り詳細

事実整理(報道ベース)

  • CrowdStrikeとGoogleが、OSS開発者を狙うボットネット「Glassworm」のC2サーバー4台を無力化し、感染マシンとの接続を遮断したと報じられています。目的は開発者のパスワード等の窃取と、信頼を悪用した悪性コードの企業内流入です。300件超のGitHubリポジトリ汚染が関連事象として示されています。これにより、さらなるマルウェア配布を抑止できたとされています。(出典:TechCrunchの報道)
    参考: TechCrunch: CrowdStrike and Google take down botnet used by hackers to target software developers in supply chain attacks
  • 供給網攻撃の重心は、開発者アカウントのハイジャックと、リポジトリ改ざん(悪性コードの混入)にあります。侵害された開発者の信頼を踏み台に、企業のビルド/配布パイプラインへ自然な“更新”として取り込ませる点が特徴です。

注記:C2の具体的な運用方式や、どのエコシステム(npm/PyPI/RubyGems 等)が主標的だったかといった詳細TTPは、上記の提供情報からは確証できません。以下の分析で言及する技術要素は、供給網攻撃の一般的パターンに基づく仮説であり、本件に必ずしも全てが当てはまるとは限らないことを明示します。

編集部の視点(なぜ今、これが効いたか/刺さるか)

  • 信頼の根っこは「人」です。依存パッケージの署名やハッシュ検証が整っていても、メンテナのアカウントが奪われれば“正当な更新”に見える形で混入します。攻撃者がねらうのは、最終的に「正規のワークフローに乗ること」で、これが成功すればEDRとゲートウェイをすり抜けて内側に入れます。
  • 4つのC2を止めることの意味は、“今動いている感染連鎖”を物理的に遮断する即効性にあります。一方で、近年の攻撃者はC2の再構築や分散化に長けており、再発を前提に、トークン一斉失効・強制2FA・リリース署名の強制検証など「攻撃面の再拡大に時間を要させる」恒久対策を重ねることが肝要です。
  • 「300+リポジトリ汚染」は、個々は小さく見えても、企業のSBOM上では数百〜数千ノードの“推移的依存”に波及する、という現場の実感に直結します。脆弱性管理の優先度付けのなかで、供給網の健全性(プロベナンス、署名、有効期限の短いトークン運用)を上げるべき根拠になります。
  • 本件は“いま対応できることが多い”タイプのインシデントです。メトリクス的に見ても、緊急性と実行可能性がともに高く、かつ発生確率が高い事象に位置づけられます。これは「特別な高価ツール」ではなく、ID保護・署名検証・権限最小化といった運用設計の徹底で差が出る領域です。

脅威シナリオと影響

以下は、供給網攻撃の一般的パターンに基づく仮説シナリオです(本件に必ずしも全てが該当するとは限りません)。

  • シナリオA:開発者端末→PAT流出→リポジトリ改ざん→正規パイプライン経由で企業内へ

    • 初期侵入(仮説):開発者端末でのクレデンシャル窃取
      • ATT&CK例: T1555.003(ブラウザ保存認証情報の窃取)、T1056.001(キーロギング)
    • 有効アカウント悪用:T1078(Valid Accounts)でVCSやパッケージレジストリへアクセス
    • 供給網妥協:T1195(Supply Chain Compromise)—依存/ツールの改ざんやリリースに悪性コードを混入
    • 信頼サブバージョン:T1553.002(コード署名の悪用/信頼の迂回)
    • 影響:CI/CDを経由して社内に“正規更新”として取り込まれ、実行基盤上でRCEやシークレット流出

  • シナリオB:マルウェアがCIランナーを探索し、クラウドシークレットへ横展開

    • 横移動(仮説):T1021(リモートサービスの悪用)や、CIのOIDCロールを悪用した一時クレデンシャルの取得
    • 機密情報搾取:T1552(平文/不適切管理の資格情報)、T1041(C2経由でのデータ流出)

  • シナリオC:人気OSSのメンテナ権限を奪取し、メジャーリリースで広域拡散

    • リリース/タグの乗っ取り、チェンジログの正規化で検知を遅延
    • 影響:サプライヤやMSSPを含む広域の“信頼ネットワーク”に波及し、産業横断的なビジネス停止リスク

影響面の要点

  • 技術:開発者ID・CI/CD・クラウドIAMを跨いだ“信頼境界”の破綻が主損害です。開発環境のEDR回避や署名の悪用は検知を困難にします。
  • 業務:ビルド停止、緊急ロールバック、トークン全失効・鍵再発行が発生しやすく、MTTRが長期化します。法務・調達・広報を巻き込む横断対応が必須になります。
  • 地政学:国家主体・越境犯罪のいずれにも適用可能なTTPで、特定産業に偏らない連鎖影響が出やすいです。監視は国内外の依存網全体を視野に入れるべきです。

セキュリティ担当者のアクション

時間軸で優先度を整理します。既存ツールと運用で即日から着手できる内容に絞ります。

  • 24〜72時間(初動)

    • 開発者IDの強制保護
      • 全VCS(GitHub/GitLab等)で強制2FA/U2Fキーを必須化します。SSO未導入なら緊急方針で例外を止めます。
      • 既存PATの一斉失効と、Fine-grained PATまたはOIDCによる短命クレデンシャルへの移行を即時実施します。
    • 監査ログの重点確認
      • 直近30日での新規PAT作成、OAuthアプリ承認、異常な国・ASNからのpush/release、branch protection/Actionsの設定変更をサーチします。
    • リリース経路の“止血”
      • 重要プロダクトのリリース署名検証を強制(署名なければブロック)します。CosignやGPGのどちらでも構いませんが、まずは“必須化”が肝要です。
      • 依存パッケージのバージョンピンとハッシュ検証(lockfileのIntegrityチェック)をCIに組み込みます。

  • 1〜4週間(恒久化)

    • プロベナンスとSLSA水準の底上げ
      • ビルドの由来(SLSA provenance)を発行・検証し、社内レジストリに取り込む条件にします。外部からの直接取得を最小化します。
    • リポジトリ・権限設計の再定義
      • CODEOWNERS+必須レビュー+署名付きコミットのみ許可、force-push禁止、保護ブランチでのCI必須化を標準にします。
      • CIシークレットのスコープ最小化、OIDCのロール境界(audience/conditions)で厳格化します。
    • 開発端末ハードニング
      • ブラウザ保存資格情報の禁止ポリシー、クリップボード/ブラウザDBのアクセス検知、EDRでのキーログ/認証情報窃取TTPのルールを強化します。

  • 併走タスク(継続)

    • SBOMの“使える化”
      • 主要プロダクトのSBOMを毎ビルド更新し、脆弱性だけでなく“出所不明/未署名/未知メンテナ”をリスク基準に含めます。
    • 依存網監視
      • 重要OSSのメンテナ変更、リポジトリ移管、リリース頻度急変を監視指標に加えます(“信頼イベント”の監査)。
    • インシデント演習の刷新
      • 「メンテナ流出→汚染リリース→社内取り込み」の卓上演習を法務・購買・開発・運用の4職種横断で年2回実施します。トークン大量失効と鍵再配布の手順・所要時間を計測します。

  • 検知・ハンティングヒント(一般化した仮説)

    • Git: 新規メンテナによるタグの作成/削除、release assetの急増、CI定義(.github/workflows 等)の改変履歴を横断検索します。
    • ネットワーク/C2: 開発者端末からの小型POST頻発や既知でないPastebin/短縮URL/ストレージへの定期通信は、資格情報のドリップ型流出の兆候になりえます。
    • クラウド/IAM: CI経由のOIDCフェデレーションで“初見のaudience/条件”を要求する試行、ロールチェーンの深い引き回しは要警戒です。

最後に。この種の攻撃は「強いツール」より「折れない運用」が効きます。人とプロセスの設計で“正規の道”を曲げられないようにする——署名、短命トークン、プロベナンス検証、最小権限、そして監査。地味ですが、これが最短で最大の防御になります。今日の出来事を、開発者という新しい境界を守る日常運用へ、静かに確実につなげていきたいです。

参考情報

背景情報

  • i Glasswormボットネットは、オープンソースソフトウェアの供給チェーンを狙った攻撃を行っていました。攻撃者は、開発者のアカウントをハイジャックし、悪意のあるコードをGitHubのリポジトリに埋め込む手法を用いていました。このような攻撃は、開発者のワークステーションを侵害することで、数千の組織に影響を及ぼす可能性があります。
  • i CrowdStrikeは、ボットネットの指揮命令サーバーを排除するために、SolanaブロックチェーンやBitTorrentネットワークを利用していました。これにより、攻撃者は感染したコンピュータへのアクセスを失い、さらなるマルウェアの配布を防ぐことができました。
Packet News 一覧へ戻る