axios サプライチェーン攻撃 対応プレイブック 2026｜npm audit／Snyk／Dependabot 連携と 24 時間 SLA フロー

2026 年 4 月の axios CVE-2026-40175（CVSS 10.0）は、企業の依存関係管理体制を試す試金石になった。 24 時間以内に全プロジェクトを 1.15.0 へ更新できた企業と、3 週間かけて 60% しか到達できなかった企業の差は、ツール連携と SLA フローの整備度に集約される。本記事は、axios だけでなく npm 全般のサプライチェーン攻撃に備えるプレイブックを、中堅企業（情シス 2-5 名）向けに整理する。

---

目次

1. サプライチェーン攻撃の系統と直近事例
2. 3 ツール連携設計（Dependabot＋Snyk＋npm audit）
3. 24 時間 SLA 意思決定フロー
4. 影響範囲特定 grep／SQL テンプレ
5. 段階的ロールバック手順
6. SBOM 整備と継続運用
7. 中堅企業のテーブルトップ演習シナリオ
8. よくある質問（FAQ）

---

サプライチェーン攻撃の系統と直近事例

系統	代表事例	影響
直接 OSS の CVE	axios CVE-2026-40175	1.15.0 未満全プロジェクトで RCE
悪意ある typosquatting	colors.js（2022 年）／node-ipc（2022 年）	ライブラリ作者が悪意更新
メンテナアカウント乗っ取り	event-stream（2018 年）	後続バージョンに malware 混入
ビルドパイプライン汚染	Solarwinds 級	ビルド時に compromised
Postinstall スクリプト	npm 全般	install 時に任意コード実行

直近 12 ヶ月で日本企業に影響したのは「直接 CVE」が 90% 以上、残り 10% に「typosquatting」「ビルド汚染」が混在。

---

3 ツール連携設計

役割分担

ツール	担当領域	通知先	コスト
Dependabot	軽微〜Medium 自動 PR	GitHub PR	無料
Snyk	High／Critical 即時アラート＋修正提案	Slack #sec-alert	年 60 万円〜
npm audit	CI ゲート（PR ブロック）	GitHub Actions	無料

Dependabot 設定例（.github/dependabot.yml）

version: 2
updates:
  - package-ecosystem: \"npm\"
    directory: \"/\"
    schedule:
      interval: \"daily\"
    groups:
      patch-updates:
        update-types: [\"patch\"]
      minor-updates:
        update-types: [\"minor\"]
    open-pull-requests-limit: 10
    labels: [\"deps\", \"auto\"]

Snyk Slack 通知ルール

• Critical／High → Slack 即時＋メール
• Medium → 日次サマリー
• Low → 週次サマリー

CI ゲート（npm audit）

- name: npm audit
  run: npm audit --audit-level=high

---

24 時間 SLA 意思決定フロー

[T+0h] アラート受信（Snyk/Dependabot/外部報道）
   ↓
[T+0.5h] 一次トリアージ（情シス担当）
   - CVSS 確認
   - KEV 登録確認
   - 影響範囲確認（次セクション）
   ↓
[T+1h] CISO／責任者判断
   - SLA カテゴリ確定（Critical-A／B／High／Medium）
   - 適用窓決定
   ↓
[T+2h] 修正 PR 作成
   - Dependabot PR 取り込み or 手動更新
   - CI 通過確認
   ↓
[T+4-12h] 検証
   - 単体／結合／本番疎通スモーク
   ↓
[T+12-24h] 本番反映
   - canary→段階的全反映
   - 監視ダッシュボードで異常チェック
   ↓
[T+24h] クローズ報告
   - 影響範囲・適用結果・残課題
   - 経営層／取引先への通知（必要な場合）

---

影響範囲特定 grep／SQL テンプレ

npm 依存（package.json）

find . -name package.json -not -path '*/node_modules/*' \\
  -exec grep -H 'axios' {} \\;

lockfile 内の解決バージョン

npm ls axios --all
yarn why axios
pnpm why axios

全リポジトリ横断（GitHub 組織管理）

gh api graphql -f query='
  query { organization(login: \"YOUR_ORG\") {
    repositories(first: 100) { nodes {
      name dependencyGraphManifests { nodes {
        dependencies { nodes { packageName requirements } }
      } }
    } }
  } }'

CMDB／資産管理 DB

SELECT system_id, repo_url, last_deploy_at
FROM systems
WHERE EXISTS (
  SELECT 1 FROM system_dependencies sd
  WHERE sd.system_id = systems.id
    AND sd.package_name = 'axios'
    AND sd.version_resolved < '1.15.0'
);

---

段階的ロールバック手順

段階	対象	確認内容
1. dev	feature ブランチ単位	単体／結合
2. staging	リリース候補	結合／E2E
3. canary	本番 5-10%	エラー率／レイテンシ
4. 部分反映	本番 50%	同上＋業務確認
5. 全反映	本番 100%	監視ダッシュボード継続

問題発生時は即時 1 段階前に戻す。

---

SBOM 整備と継続運用

経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版に準拠する場合の最小構成：

要素	フォーマット	更新タイミング
部品表	SPDX 2.3 / CycloneDX 1.5	各 deploy 後自動生成
ライセンス情報	SPDX 識別子	部品表と連動
脆弱性紐付け	VEX（Vulnerability Exploitability eXchange）	週次 or アラート時

ツール例: Syft（生成）／Grype（脆弱性紐付け）

---

中堅企業のテーブルトップ演習シナリオ

シナリオ: 月曜 10:00、Snyk から axios CVSS 10.0 アラート受信、150 リポジトリ／12 本番システムに影響可能性

時刻	担当	アクション
10:00	情シス担当 A	アラート受信→CISO Slack 通知
10:30	CISO	Critical-A 認定、24h SLA
11:00	SRE 兼任	grep で影響 47 リポジトリ特定
12:00	開発リーダー	主力 5 システムから着手
14:00	各開発担当	Dependabot PR 順次マージ
18:00	SRE	staging 全反映、回帰テスト
20:00	SRE	canary 開始
翌 04:00	監視	全反映完了、異常なし
翌 09:00	CISO	経営層／主要取引先 報告

---

よくある質問（FAQ）

Q. Dependabot だけで Snyk は不要？ A. 検知速度／カバレッジ／修正提案品質で Snyk が優位。中堅企業以上では併用が標準。月数十万円のコストは年間 1 件のインシデント回避で回収。

Q. npm audit は誤検知が多いと聞く、CI ゲートに使う意味は？ A. --audit-level=high で誤検知の大半は除外可能。残った検知は人手判定。完全自動化は望めないが、High 以上のすり抜け防止には有効。

Q. SBOM は本当に必要？ A. 政府調達・金融・重要インフラでは 2025 年以降事実上必須化。一般中堅企業でも 2027 年までに整備推奨。後追いになると整備工数が膨らむ。

---

参考資料

• IPA「ソフトウェアサプライチェーン攻撃の対策」2024 年版
• 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
• CISA「Software Bill of Materials (SBOM)」ガイダンス

---

サプライチェーン対応プレイブックの整備、Dependabot＋Snyk 設計、SBOM 自動生成パイプライン構築は、GXO のセキュリティ運用支援サービスでワンストップ支援可能です。