Bleeping Computerは3月31日(米国時間)、「Cisco source code stolen in Trivy-linked dev environment breach」において、セキュリティスキャンツール「Trivy」を侵害するサプライチェーン攻撃により、Cisco Systems(シスコシステムズ)から内部情報が流出したと報じた。
流出情報にはAmazon Web Services(AWS)の認証キーやソースコードなどが含まれ、顧客にも影響した可能性があるという。
-
Trivy侵害を起点としたサプライチェーン攻撃により、Ciscoの開発環境からAWSキーやソースコードが流出した可能性がある 出典:PIXTA
Trivy侵害とは何か?サプライチェーン攻撃の仕組み
TrivyはコンテナやKubernetes環境、クラウドインフラなどの脆弱性や設定ミスを特定するスキャンツールとされる。開発者やセキュリティチームに利用されており、侵害された場合の影響範囲は広いと評価されている(参考:「Trivy vulnerability scanner breach pushed infostealer via GitHub Actions」)。
侵害は脅威アクター「TeamPCP」により実行され、Trivyバージョン0.69.4にバックドアが仕掛けられた。この結果、ツールを使用した環境に情報窃取マルウェアが展開され、認証情報や機密ファイルなど幅広い情報が窃取されたとみられている。
Ciscoはは何を盗まれたのか?AWSキーやAI関連コードの流出内容
Bleeping Computerは匿名を条件に情報を入手したとして、Ciscoが受けた被害状況を明らかにした。この情報によると、攻撃者はTrivy侵害事案に伴う悪意のあるGitHub Actionプラグインを介して、Ciscoのビルドおよび開発環境から認証情報やデータを窃取し、開発環境や研究所に設置された数十台のデバイスに影響を与えたとされる。
この攻撃で流出したAWSキーは、Cisco AWSアカウントの不正な活動に悪用されたことが報告されている。また、300以上のGitHubリポジトリーがクローンされ、AIアシスタント、AI防御、未発売製品を含むAI搭載製品のソースコードも窃取されたという。これらリポジトリの一部は、金融機関、ビジネス・プロセス・アウトソーシング(BPO: Business Process Outsourcing)、米国政府機関に関係があるとされる。
Trivy利用者に影響は?調査すべきポイントとリスク
本稿執筆時点までにCiscoの公式発表は確認できておらず、実際の影響は明らかになっていない。Trivyを活用している組織や個人は、同様の影響を受けた可能性があるため、調査を実施することが望まれている。
なぜ危険?サプライチェーン攻撃が企業に与える影響
サプライチェーン攻撃が危険とされる最大の理由は、企業が利用している正規のツールやサービスが攻撃経路となる点にある。通常であればセキュリティ対策によって遮断されるはずの経路も、正規のソフトウェアとして動作するため検知が遅れやすい。
さらに、侵害は単一のシステムにとどまらず、開発環境から本番環境、さらには顧客や取引先へと連鎖的に拡大する可能性がある。今回のように認証情報やクラウドのアクセスキーが窃取された場合、他のシステムへの不正アクセスに悪用されるリスクも高い。
加えて、流出する情報の質も重大である。ソースコードやAI関連技術、クラウド認証情報といった機密性の高いデータは、企業の競争力や事業継続に直接影響を及ぼす可能性がある。
このようにサプライチェーン攻撃は、発見が遅れやすく、被害が広範囲に及びやすいという特徴を持つことから、従来のサイバー攻撃よりも深刻なリスクとされている。Trivyのような開発ツールを利用している企業は、自社の開発パイプラインの安全性を再確認する必要がある。
