サイバーセキュリティ📖 1分で読了

Trivy/Checkmarx連鎖侵害が示す供給チェーンの危機セキュリティツール自体が攻撃ベクターに──開発環境を守る緊急対策

Trivy/Checkmarx連鎖侵害が示す供給チェーンの危機

TeamPCPがTrivy、Checkmarxを連続侵害。セキュリティツール自体が攻撃ベクターとなる事態に。CI/CDパイプラインを守るための緊急対策と、企業が今すぐ実施すべきアクションを解説します。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

セキュリティツール自体が攻撃ベクターに──2026年最大級の供給チェーン事件が発生

脆弱性スキャナー「Trivy」と静的解析ツール「Checkmarx」が相次いで侵害され、セキュリティを守るはずのツール自体がマルウェアの配布経路となる事態が発生しました。The Hacker Newsが3月24日に報じたところによると、攻撃グループ「TeamPCP」がCheckmarx社の2つのGitHub Actions(checkmarx/ast-github-action、checkmarx/kics-github-action)を侵害し、CI認証情報を窃盗するマルウェアを注入しました。これは先週発生したTrivy攻撃と同一グループによる犯行であり、セキュリティツールを標的とした連鎖的攻撃として、開発現場に深刻な影響を与えています。

git tagリポインティングによる「遡及的汚染」の衝撃

今回の攻撃で最も衝撃的なのは、攻撃手法の巧妙さです。3月19日に発生したTrivy攻撃では、Aqua Security社のTrivyスキャナー公式リリース(v0.69.4)にクレデンシャルスティーラーが注入されました。このマルウェアはGitHub Releases、Docker Hub、Amazon ECR、GitHub Container Registryを通じて広範囲に配布されています。

さらに深刻なのは「git tagリポインティング」と呼ばれる手法です。攻撃者は76件中77件のtrivy-actionリリースタグを遡及的に書き換え、過去のバージョンを指定しているCI/CDパイプラインも汚染しました。つまり、開発チームがバージョンを固定していたつもりでも、気づかないうちにマルウェアを実行していた可能性があるのです。パイプラインは正常に動作しているように見えるため、発見が極めて困難という特徴があります。

Checkmarxは供給チェーンセキュリティを専門とする企業です。そのセキュリティ企業自体が侵害されたという事実は、開発エコシステム全体の信頼基盤を揺るがすものと言えるでしょう。

3月を通じてエスカレートする開発ツールへの組織的攻撃

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

今回の事件は孤立したものではありません。2026年3月に入ってから、開発者ツールエコシステムへの組織的な攻撃が相次いでいます。3月14日にはGlassWorm 72の拡張が確認され、3月11日にはRust cratesやAIボットを狙ったCI/CD攻撃が発生しました。3月10日には偽の「OpenClaw」パッケージによる攻撃も報告されています。

これらの攻撃に共通するのは、開発者が日常的に信頼しているツールやパッケージを悪用している点です。バージョンタグを信頼するというCI/CDパイプラインの基本的な設計前提が根本から覆されつつあります。

御社が今すぐ実施すべき5つの緊急対策

この事態を受けて、開発環境を持つすべての企業は早急な対応が求められます。

まず最優先で実施すべきなのが、GitHub Actionsのバージョン指定方法の変更です。従来のタグ指定(例:@v1.0.0)から、コミットSHAによるピン留め(例:@abc123def456)への移行を即座に進めてください。これにより、git tagリポインティング攻撃の影響を受けなくなります。

次に、自社で利用しているTrivy/Checkmarxのバージョンを確認し、影響を受けているかどうかの調査を実施してください。特に3月19日以降にCI/CDパイプラインを実行している場合は要注意です。

CI/CDランナー上でシークレット(APIキー、認証情報など)が露出していないかの確認も重要です。万が一露出の可能性がある場合は、該当するすべてのシークレットを直ちにローテーション(再発行・更新)してください。

加えて、GitHub Actionsのpull_request_targetトリガーが自動実行される設定になっていないか確認し、必要に応じて無効化することを推奨します。この設定は外部からの悪意あるコード実行を許してしまうリスクがあります。

最後に、依存関係の監査体制を強化してください。使用しているすべてのGitHub Actions、Dockerイメージ、パッケージについて、定期的なセキュリティレビューを実施する仕組みを整備することが重要です。

まとめ

TeamPCPによるTrivy/Checkmarxの連鎖侵害は、セキュリティツール自体が攻撃ベクターとなりうることを示しました。git tagリポインティングによる遡及的汚染は、バージョン固定という従来の対策を無効化します。GitHub ActionsのコミットSHAピン留め、シークレットローテーション、依存関係監査の強化が急務です。

供給チェーンセキュリティの対策やCI/CD環境のセキュリティ強化について、より詳しい診断や対策をご希望の方は、180社以上の支援実績を持つGXOにご相談ください。

お問い合わせはこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリAndroidにバックドア混入──日本も被害上位国に

Androidにバックドア混入──日本も被害上位国に

2026年2月21日 · 1分で読了

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月18日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了