🔥 この記事の詳細
2026-05-11 更新
B
今週中

CI/CDビルドプロセスにおける脆弱性を悪用したサプライチェーン攻撃が増加しています

脆弱性🌐 英語ソース
📅 2026-05-11📰 securityweek
📌 一言でいうと
CI/CDビルドプロセスにおける脆弱性を悪用したサプライチェーン攻撃が増加しています。具体的には、Axios npmライブラリの維持管理者のアカウント乗っ取りや、Trivy、LiteLLM、kicsなどのツールへの侵入事例が報告されています。これらの攻撃は開発サイクルを標的としており、ビルドアプリケーションファイアウォールの導入による防御策が提案されています。
🔍該当判定
  • 自社でソフトウェア開発を行っており、GitHub ActionsやJenkinsなどのCI/CDツールを利用している
  • npmなどのパッケージ管理ツールを利用して、外部ライブラリ(例: Axiosなど)を組み込んで開発している
  • Trivy、LiteLLM、Checkmarx/kicsなどの脆弱性スキャンツールやAIライブラリを開発工程に導入している
上記いずれにも該当しない(自社でコード開発・ビルドを行っていない) → 静観でOK
該当時の対応
CI/CDパイプラインのセキュリティ強化、依存関係の整合性チェック(Lockファイルの使用)、ビルドアプリケーションファイアウォールの検討、特権アカウントの多要素認証(MFA)の徹底。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】CI/CDパイプラインを標的としたサプライチェーン攻撃への対応について

お疲れさまです。CI/CDビルドプロセスを標的とした一連のサプライチェーン攻撃に関する情報共有です。

■ 概要
開発サイクルに侵入し、信頼されたライブラリ(Axios等)やセキュリティツール(Trivy, LiteLLM, kics等)に悪意あるコードを混入させる攻撃が確認されています。これにより、ビルドプロセスを通じてリモートアクセストロジャン(RAT)が配布されるリスクがあります。

■ 影響範囲
- CI/CDパイプラインを利用してアプリケーションをビルドしている環境
- Axios npmライブラリ、Trivy、LiteLLM、kics等のツール利用者

■ 対応手順
1. 依存ライブラリのバージョン固定および整合性チェック(Checksum/Lockファイル)の再確認
2. CI/CDパイプラインにおける特権アカウントへのMFA適用とアクセス権限の最小化
3. ビルドプロセスにおける異常検知(ビルドアプリケーションファイアウォール等)の導入検討

■ 参考情報
- SecurityWeek: Build Application Firewalls Aim to Stop the Next Supply Chain Attack

対応優先度: 高
対応期限: 次回ビルドサイクルまで
Subject: [Security Alert] Mitigating Supply Chain Attacks Targeting CI/CD Pipelines

Dear Team,

This is a technical update regarding a series of supply chain attacks targeting the CI/CD build process.

■ Overview
Threat actors have been compromising the development cycles of widely used tools and libraries, such as the Axios npm library, Trivy, LiteLLM, and kics. The goal is to inject malicious code into the build process to deliver Remote Access Trojans (RATs) to downstream users.

■ Scope
- Organizations utilizing CI/CD pipelines for application builds.
- Users of Axios, Trivy, LiteLLM, and kics.

■ Recommended Actions
1. Verify dependency pinning and integrity checks (e.g., using lock files and checksums).
2. Enforce Multi-Factor Authentication (MFA) and the principle of least privilege for all CI/CD service accounts.
3. Evaluate the implementation of build application firewalls to detect and block unauthorized changes during the build phase.

■ Reference
- SecurityWeek: Build Application Firewalls Aim to Stop the Next Supply Chain Attack

Priority: High
Deadline: Immediate/Next build cycle
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-11 のまとめ🔍 記事を検索