2026年5月19日、633件の悪意あるnpmパッケージバージョンがSigstoreのプロベナンス検証を通過するという重大なインシデントが発生した。攻撃者は正規メンテナーのアカウントを侵害し、そのアカウントを使って有効な署名証明書を生成することで、セキュリティチェックをすり抜けることに成功したとされている。
Sigstoreは設計通りに動作していた点が問題の核心である。システムはパッケージがCI(継続的インテグレーション)環境でビルドされたことを確認し、有効な証明書が発行されたことも正しく検証した。しかし「アカウント自体が侵害されていた」という事実までは検知できなかった。つまり、認証の仕組みそのものではなく、その前段階にある「アカウントの信頼性」が崩壊していたのだ。
このインシデントはantVエコシステムを標的にした攻撃の一環とみられており、「mini-shai-hulud」と呼ばれるキャンペーンとして研究者に追跡されている。偽のSigstoreバッジを使って正規パッケージに見せかける手口が用いられており、依存関係チェーンを通じて多くの開発環境に影響が及ぶ可能性があるとされている。
ゲーム開発やModツール制作など、npmパッケージを日常的に利用する開発者にとっても無縁ではない問題だ。特にオープンソースのゲームエンジン周辺ツールやビルドスクリプトにnpmが使われるケースは多く、サプライチェーン攻撃のリスクは現実的な脅威として認識する必要がある。パッケージの利用前には公式リポジトリでの確認やバージョン固定の徹底が推奨されるとされている。
今回の事件は「有効な証明書=安全」という前提が崩れ得ることを示した事例として、セキュリティコミュニティに大きな波紋を広げている。アカウント保護の強化、多要素認証の徹底、そして証明書だけに依存しない多層的な検証の重要性が改めて問われているといえるだろう。
出典:VentureBeat
管理人コメント
「証明書は本物、でも人間が偽物」という本末転倒な状況ですね。ハードウェアのセキュリティチップより先に人間のアカウントが突破されるとは……。二段階認証はゲームのサブクエストではなくメインミッションです。必ず設定しておきましょう!
読み込み中...
