AIプログラミング時代に潜む罠　ソフトウェアサプライチェーンの現在と身を守るための新常識（1/2 ページ）

AIによって誰もがコードを書けるようになったが、開発者はソフトウェアサプライチェーン攻撃のリスクにさらされている。本稿では、そもそもソフトウェアサプライチェーンとは何なのかを振り返り、開発者が何に気を付け、どのような対策をとるべきなのかを分かりやすく解説する。

» 2026年06月23日 05時00分公開

[桂田祥吾，セキュリティエンジニア]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

爆速化する開発と見落とされがちな「裏口」

　ChatGPTやGitHub Copilot、Claude Codeなど、生成AIの登場と進化によって、ソフトウェア開発は「人間が1行ずつコードを書くもの」から、「AIに指示を出し、自動で組み上げてもらうもの」へと劇的に変化しました。以前は数週間かかっていた機能の実装が数分で完了するようになり、開発のスピードは異次元に跳ね上がっています。

　かつてブログの流行によって専門ではない多くのライターが生まれ、YouTubeによって多くのコンテンツクリエイターが生まれたのと同様に、AIコーディングによって「全ての人が開発者になる」とも言われています。

　しかし、この「光」の裏で、深刻な「影」が忍び寄っています。それが、「ソフトウェアサプライチェーン」を狙ったサイバー攻撃です。

　AIが自動でコードを書き、世界中から便利なプログラム（部品）を次々と組み込んでいく中で、もしその部品や、開発を行うツールそのものに毒が仕込まれていたらどうなるでしょうか。そして、その毒が「人間の目には絶対に見えない」ものだとしたら？

　本記事では、AI時代のサプライチェーンセキュリティの現在地と、従来のような「人の目によるチェック」に頼らない、新しい時代の守り方について解説します。

そもそも「ソフトウェアサプライチェーン」とは？

　「サプライチェーン（供給網）」は、本来は製造業などで使われる言葉です。例えば、レストランのハンバーグが食卓に届くまでには「農家（牛を育てる）→食肉工場（加工）→運送業者（運ぶ）→シェフ（調理）」という長い鎖（チェーン）が存在します。この工程のどこか1カ所でも毒が混入すれば、最終的にハンバーグを食べるお客さんは被害に遭います。

　現代のソフトウェア開発も、全く同じ構造をしています。今、私たちが使っているアプリやWebサービスを、開発者が「ゼロから全て100%自作」していることはまずありません。

OSS（オープンソースソフトウェア）：世界中の有志が無償で公開している、便利な機能の「部品」
外部API・クラウド基盤：データベースやログイン機能などを肩代わりしてくれる外部サービス
パッケージマネジャー：インターネット上から必要な部品を自動でダウンロードしてくる仕組み（npmやpipなど）

　現代のソフトウェアのほとんどは、こうした「外部から調達した部品」の寄せ集めで構成されています。つまり、自分たちが書いたコードが完璧でも、「取り寄せた部品や連携先」の扱い方に弱点があれば、システム全体が崩壊する。これがソフトウェアサプライチェーンリスクの本質です。

AIの進化がもたらした「自律型エージェント」の時代

　2026年現在、AIは単なるチャットbotを超え、自律型エージェントへと進化しました。

　これまでのAIはコードを提案するだけでしたが、現在のAIエージェントは、人間から「こんな機能を実装して」と一言指示を受けると、自らプロジェクト全体を把握し、必要な外部部品をネットから探し、自律的にコマンドを叩いてインストールし、コードを修正してテストまで完了させます。

　この「人間が一切手を下さない自動開発」は驚異的な効率を生む一方、「AIが人間の全く知らないところで、得体の知れない部品を勝手にシステムに組み込む」という、極めて制御しにくい状況を生み出しているのです。

AI時代の新たな脅威と実例

　AIツールの発展と、攻撃者のAI活用によって、今まさに起きている深刻な脅威を見ていきます。

脅威1　「食材（部品）」への毒の混入

　サプライチェーン攻撃の分かりやすい例は、「食材（部品）」への毒の混入です。例を幾つか紹介します。

AIの「幻覚」を利用した罠（ハルシネーション攻撃）： AIは時々、もっともらしい嘘をつく「ハルシネーション（幻覚）」を起こします。プログラミングにおいて、AIが「『便利なツールA』をインストールしましょう」と提案することがありますが、実はそのツールがこの世に存在しない「架空の名前」であるケースがあります。攻撃者は、AIが捏造（ねつぞう）しそうな名前を先回りして予測し、同じ名前で「マルウェア入りの偽パッケージ」を実際に公開して待ち構えています。AIの指示通りにインストールした瞬間、システムが乗っ取られるのです。
たった1人の「鍵」が世界を汚染する（Axios管理者PCの乗っ取り）：「有名な部品だけを使っていれば安全」という神話は、2026年の「Axios事件」で完全に崩壊しました。週に1億回ダウンロードされ、世界中のクラウド環境の約80%で使われている超巨大パッケージ「Axios」のメンテナー（管理者）アカウントが乗っ取られ、ウイルス入りのバージョンが全世界に配信されたのです。誰もが信じる当たり前のインフラでさえ、たった1人のアカウントがハッキングされれば、一瞬で猛毒に変わることを証明しました。この事件は、AIを使ったソーシャルエンジニアリングによる乗っ取り被害であったと推測されています。

脅威2　調理アシスタントのミス（AI任せの開発が招く設定漏れ）

　信頼していた調理アシスタントに専門外のことをお願いすると、想像していなかったところで失敗してしまう。そんなことがAIを使った開発においても起こります。

　2026年2月、「Moltbook（モルトブック）」というAIエージェント専用SNSで大規模な情報漏えい事件が発覚しました。Moltbookは、AIを使って猛スピードで開発されました。AIは指示通りにデータベースと連携するコードを完璧に書き上げましたが、「アクセス権限を制限する」というセキュリティの基本設定をすっぽり抜け落としていたのです。結果として、150万件ものAPIキーと3万5000件のユーザー情報が全世界にダダ漏れになりました。「AIは動くモノを作るのは得意だが、安全に設定する文脈（コンテキスト）は持っていない」という恐ろしい盲点が露呈した決定的な事件です。

脅威3　「調理場」や「プラットフォーム」そのものへの攻撃

　個別の部品（パッケージ）に毒を入れるのが「食材への混入」だとしたら、開発環境やビルド環境を狙うのは「調理場そのもののハッキング」です。最近、業界を震撼させた3つの具体的な事例を紹介します。

事例1：自動化ボットの弱点を突く（tj-actions/changed-filesの脆弱＜ぜいじゃく＞性）　GitHubには開発作業を自動化するボット機能がありますが、世界中で使われている超人気ツール「tj-actions」に、ハッカーが特殊な名前のファイルを作るだけでボットをだまし、悪意のあるコマンドを勝手に実行させることができる欠陥が見つかりました。ボットが自ら毒を混入させてしまう手口です。
事例2：「警備員」がハッキングされる（Trivy侵害事件）　「Trivy」という世界標準のセキュリティスキャンツールが、TeamPCPという攻撃者グループによって侵害される事件が起きました。「泥棒を捕まえるための警備犬」が、気付かないうちに泥棒の仲間にすり替えられていたようなものです。セキュリティツールさえも絶対視できない時代が到来しています。
事例3：クラウドの巨人さえも例外ではない（AWS CodeBuildの「CodeBreach」脆弱性）　セキュリティ企業Wizの研究チームによって発見された衝撃的な脆弱性です。Amazon Web Services（AWS）のビルドサービスに潜んでいたこの欠陥は、悪意のあるユーザーが他のAWS利用者のビルド環境を覗き見たり、コードを盗み出したりできるというものでした。「天下のAWSを使っているからインフラは100%安全だ」という思い込みが、実は大きなサプライチェーンリスクになり得ることを証明しました。

脅威4　「シェフの鍵」を盗み出すインフォスティーラーの猛威

　部品（パッケージ）や調理場（クラウド基盤）がどんなに安全でも、「シェフ（開発者）の端末」がハッキングされてしまえば元も子もありません。現在、サプライチェーン攻撃の最大の入り口となっているのが「インフォスティーラー（情報窃取型マルウェア）」 です。

　インフォスティーラーとは、感染した端末からパスワードや暗号資産、そしてログイン済みのセッション情報（Cookie）などを根こそぎ盗み出すウイルスのことです。EDR（Endpoint Detection and Response）でも検知が難しく、「一度感染すれば、認証情報は漏えいしているものと考えるべき」とも言われています。もし開発者が巧妙なフィッシング詐欺に引っかかり感染すると、攻撃者は盗み出したセッション情報を使って正規の開発者になりすまし、GitHubやAWSにログインしてしまいます。正規のシェフの顔をして堂々と調理場に入り込み、本物のソフトウェアに毒を混入させるという極めて防ぎにくい手口が急増しています。