「セキュリティのアレ」の3人が事例から導く、サプライチェーン攻撃対策の楔:TeamPCPによる攻撃の構造も解説
2026年5月29日、「ITmedia Security Week 2026 春」で、パネルディスカッション「信頼の境界線に打つ楔」が行われた。
現代のビジネス環境において、私たちはソフトウェアや各種クラウドサービスの利用、あるいは支店、業務委託先など、あらゆるつながりの中で活動している。今や「サプライチェーンの外は存在しない」と言っても過言ではない。こうしたつながりは私たちに計り知れない利便性をもたらす一方で、システムへの依存度が高まるにつれて、そこに潜むリスクとインシデント発生時のインパクトはこれまでにないほど増大している。もはや「自分のところからは漏れていないから大丈夫だ」と対岸の火事として済ませることはできず、どの企業もいつ被害者(あるいは加害者)になってもおかしくない状況に置かれていると言えよう。
そうした現状に、3人のリサーチャーが斬り込む。登壇者は、インターネットイニシアティブの根岸征史氏、ソフトバンクの辻伸弘氏、脅威情報分析チームLETTICEのpiyokango氏。本稿では、ポッドキャスト「セキュリティのアレ」を運営する3人が、“サプライチェーン”のリスクを語った講演を紹介しよう。
サプライチェーンリスクの全体像
3人はまず、サプライチェーン攻撃によるリスクを分類し、全体像を整理する。根岸氏はこのサプライチェーンリスクを、大きく以下の3つに分けた。
・ビジネスサプライチェーン
一般的にイメージされやすいもので、取引先や業務委託先へのサイバー攻撃に起因した、調達部品の供給遅延・停止、情報漏えいなど。または取引先などを踏み台とした不正侵入がこれに当たる。
・サービスサプライチェーン
利用しているクラウドサービスやITサービスが攻撃され、情報の漏えいやサービスの停止が起こるケース。連携している別のサードパーティー製サービスが最初に攻撃され、そこを経由して被害が及ぶ複雑な事例も発生している。
・ソフトウェアサプライチェーン
ソフトウェア開発において、アップデートサーバや公開リポジトリなど開発環境や提供の工程を侵害され、正規のソフトウェアの汚染によって利用者に影響を及ぼす。
辻氏はこれらのリスクに対し、「今のビジネス環境で、これらに依存していないものを探す方が難しい」と述べる。サプライチェーンリスクは大分類で3つとしたが、それぞれの内容、対応策は異なる。間接的に影響を受けることになるものを含め、「経路が異なる、原因も異なる、対策も異なるので、自分たちはどこに注目すべきか、一度整理する必要があると思う」と根岸氏はまとめる。
「インフォスティーラーかもしれない」クラウドサービス侵害事例
3つのリスクの中から辻氏は、サービスサプライチェーンの具体例として、不動産業界向けのプラットフォーム「いえらぶCLOUD」の事例を取り上げる。いえらぶCLOUDを運営するいえらぶGROUPは2026年4月8日、悪意ある第三者によるシステムへの不正アクセスおよびシステムにおける脆弱(ぜいじゃく)性が発端となり、データ流出インシデントが発生したと発表した。
まず辻氏は、この事例を知ることになったきっかけを話す。とあるフォーラムでは、盗んだ情報を売買するための書き込みが日々行われているが、あるタイミングで日本の著名な不動産会社、不動産仲介業の名前が取り上げられ、その大手企業が情報漏えいを起こしたのではないかと話題になった。しかし、原因はいえらぶCLOUDというプラットフォームの不正アクセス被害だった。
いえらぶCLOUDを使っていた不動産仲介会社が「インフォスティーラー」などのマルウェアにより、認証情報が奪われたのではないか、とプレスリリースには記されている。通常なら、インフォスティーラーに感染した組織のアカウントの範囲だけしか情報を盗み見ることができないはずが、今回の事案ではシステム上に存在していた脆弱性を悪用してアクセス範囲を拡大。その結果、マルウェアに感染した組織の情報だけでなく、同じプラットフォームを利用している、全く関係のない他の組織の顧客情報までごっそりと盗まれてしまったという。
この事例では登場人物が多く、問題が幾つも発生している。インフォスティーラーに感染したのはクラウドサービスの利用者だが、クラウドサービス自体にも脆弱性があったことでさらなる被害が発生している。根岸氏は「サプライチェーン攻撃でよくあるのは、使っているサービス提供者に直接の問題があり、利用者には責任がないケースが多かった」と指摘する。この事例では、インフォスティーラーに感染した利用者、脆弱性を残した(おそらくは多要素認証が導入されていなかった)サービス提供者にも責任があると考えられる。
辻氏はこの事例を、「インフォスティーラーかもしれないと明記しているプレスリリースは初めてかもしれない」と述べる。利用者の「認証情報漏えい」と提供者の「脆弱性、多要素認証の未導入」が組み合わさることで、直接的な責任のない利用者にまで被害が及ぶサプライチェーンの恐ろしさを指摘する。リスクの見積もり方が今までよりも難しくなってきているのが、サプライチェーンリスクの重要なポイントだ。
2026年3月から多発したソフトウェアサプライチェーンリスクの構造
piyokango氏は、近年の被害が顕著なソフトウェアサプライチェーンについて詳細な解説と問題提起を行う。2026年3月ごろから多くのソフトウェアサプライチェーン攻撃が話題になっており、開発元、開発者自身が狙われる事例が増えている。
例えば、自社で利用しているソフトウェアの開発元が侵害され、正規のアップデートに紛れてマルウェアが配信されるパターンもあれば、Pythonなどのオープンソースパッケージやnpmが侵害され、それに依存している多数のソフトウェアへと連鎖的に影響が及ぶパターンもある。現代のソフトウェア開発では、これらのパッケージに依存していないケースは少なく、間接的に被害に遭うリスクが非常に高まっている。
piyokango氏は具体的な事例として脅威アクター「TeamPCP」による認証情報を悪用したソフトウェアサプライチェーン攻撃を紹介する。この攻撃では、ソフトウェアを侵害して認証情報を盗むだけでなく、盗んだ情報を使えそうな、関連するサービスにも連鎖的に攻撃を仕掛ける。まさに「サプライチェーン」攻撃だ。
この事例では、CI/CD(継続的インテグレーション/継続的デリバリー)などの開発基盤、開発者向けの拡張機能、そして「Trivy」というセキュリティスキャナーが標的となった。特にTrivyは、自社のソフトウェアに問題がないかどうかを調査するために多くの開発基盤に組み込まれていたので、セキュリティを高めるためのツールが逆に横展開の起点となってしまった。
piyokango氏は、「過去にもこのような攻撃は想像されていたが、ここまで多くの事例が連鎖的に発生するのはある意味初めてではないか」と指摘する。セキュリティを高めようとした試みが裏目に出た点について根岸氏は「セキュリティ製品を導入しただけで安心してしまうのはよくない」と警鐘を鳴らす。セキュリティ製品も侵害される可能性があることを考えるとともに、セキュリティ製品は高い権限で動いているので、横展開の起点になり得る。
このような一連のソフトウェアサプライチェーン攻撃に対応する上で、piyokango氏は大きく2つのポイントを挙げる。
・標的の再認識
開発ツールやセキュリティ製品は非常に高い権限を持っているので、攻撃者にとって極めて魅力的な標的だ。一度認証情報が盗まれると何でもできる状態になってしまうので、盗まれた後に何が起こるのかを事前に想定しておく必要がある。
・侵害後の対応
認証情報が漏えいした場合、パスワードの変更が必要だが、攻撃者はそのローテーションの隙を突き、有効な認証情報を悪用して新たな認証情報を発行するなどして攻撃を継続する。正しいアクションをしたように見えても、それが間に合っていない状態という対応の“漏れ”があると、その隙を突かれてしまう。攻撃側は1つでも漏れを発見できれば侵入に成功するので、徹底が難しい。
ソフトウェアサプライチェーン攻撃についても、事前の準備と対応訓練が重要だが、システムを稼働させたまま開発基盤の認証情報を変更することは容易ではない。辻氏はランサムウェア対策におけるバックアップの訓練を引き合いに、侵害を受けた際に「どれくらいのスピードでシステムを止められるか」「漏れなく対応できるかどうか」など、手順を事前に確認して準備しておくことが不可欠だと強調した。
「基礎継続」「当事者意識」が企業を救う
今回のパネルディスカッションを通じて、「サプライチェーン攻撃」とひと言でいっても、攻撃の入り込む場所がさまざまあり、どこにどういう脅威があるか、即答できないことが理解できるだろう。どこから来るのか分からないので、「これがサプライチェーン攻撃対策だ」と表現できない。引き続き、基礎的なセキュリティ対策を講じ続ける必要がある。
「サプライチェーン攻撃対策は製品導入ではない」としたら、何が私たちに必要なのだろうか? 辻氏は最後に、次のような言葉で講演を締めくくった。
「サプライチェーンの脅威が顕著になっている理由は、僕たちではなく、環境が一気に変わったことにより、影響の大きさやインパクトの強さが変わっているから。被害が連鎖しやすくなっている現状を認識し、当事者意識を持ち、自分たちも追随していく意識を持っていただきたい。このセッションがそれを知るきっかけになり、『自分ごと』がキーワードになればと思う」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
そのランサム被害の原因、本当にVPN? 「6割が侵入経路不明」の今、管理対象を勘違いしないためのポイント
2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。
「なぜ正規アカウントが奪われたのかまでは分からない」の原因 〜フィッシング? ClickFix?〜
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。
「侵入前提」だけではやられる理由――真因究明、優先順位付けは大丈夫? アタックサーフェス管理が無駄になるポイント
2025年8月27日、ITmedia Security Week 2025 夏で、人気のポッドキャスト「セキュリティのアレ」を主宰する3人のリサーチャーが、再びアタックサーフェス管理を題材にパネルディスカッションを行った。
InfoStealerにクッキーを盗まれるとログイン不要の正規侵入が起こる――「セキュリティのアレ」の3人が明かす、認証認可を狙う新たな手口の現状とは
2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。
日常茶飯事の「サプライチェーン攻撃」のカオスな実態とは?「セキュリティのアレ」の3人が事例から解き明かす
2024年11月27日、「ITmedia Security Week 2024 秋」の「クラウドセキュリティ」ゾーンで、ポッドキャスト「セキュリティのアレ」に出演する根岸征史氏、辻伸弘氏、piyokango氏が「繋ぐ楔と断ち切る楔」と題してパネルディスカッションに登壇した。