米国のサイバー防衛を担うCISAの大幅な予算削減案が提示され、防衛能力や官民連携への影響を巡り専門家の見解が分裂している。同時期に、北朝鮮系とみられる攻撃者がOSSエコシステムを横断し1700以上の不正パッケージを拡散、多層的なマルウェア攻撃を展開していることが判明した。各組織には自律的防御強化が求められている。
-
OSSを装った不正パッケージによるサプライチェーン攻撃が拡大しているPhoto:PIXTA
先週は何が危険だったのか
先週は何が危険だったのか。OSSを装ったサプライチェーン攻撃が拡大し、1700超の不正パッケージが確認されたほか、FortinetやIvanti製品の脆弱性も悪用が確認された。企業のセキュリティ対策に直結する動向を整理する。
CISA予算削減で何が起きるのか?サイバー防衛は弱体化するのか
結論
・ CISAの予算削減はサイバー防衛力の低下リスクを伴う
・官民連携の縮小により情報共有の遅れが懸念される
・企業は「自律的な防御体制」へのシフトが必要になる
米国政府が提示した2027会計年度(FY2027)予算案では、サイバー防衛を担う米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の予算削減が盛り込まれた。削減額は最大で約7億700万ドルと見積もられる一方、別の資料では約3億6100万ドルとする数値も存在し、アメリカ合衆国国土安全保障省(DHS: United States Department of Homeland Security)の予算算定基準の違いにより幅がある。いずれの場合も、同庁の予算は現政権発足当初の約30億ドル規模から、20億ドル強へと大きく縮小する見通しだ。
今回の削減は、CISAの機能を「連邦ネットワーク防衛」と「重要インフラ保護」に集中させる一方で、外部との連携機能を縮小する内容となっている。具体的には、企業や国際パートナーとの調整、情報共有、協議体運営などが対象とされる。
この動きを巡り、専門家の間では評価が分かれている。Finite Stateのポリシー・コンプライアンス責任者Doc McConnell氏は、2018年にCISAが設立された背景として「サイバーセキュリティは単一の組織で解決できる問題ではなく、共有課題であるという認識」があったと指摘し、同庁の存在意義を強調する。
また、Suzu Labsのオペレーション担当副社長Aaron Colclough氏は、今回の予算案について、政権の掲げる「無駄や過度な機能の排除」といった優先事項に沿うものとしつつ、「大統領が議会との交渉前に提示する高めの初期案」という従来の予算プロセスの一環である可能性を指摘する。
ただし、サイバー攻撃が高度化・広域化する中での削減である点は重要だ。特にサプライチェーン攻撃のように複数組織にまたがる脅威に対しては、従来のような広範な連携が不可欠とされている。
企業への影響と対策
こうした動きは、企業に対して自律的なサイバー防御体制の強化を求めるものといえる。特に、EDR/XDRなどによる監視・検知の高度化、脆弱性管理の徹底、ゼロトラストの導入、インシデント対応体制の整備が重要になる。
- EDR/XDRなどによる監視・検知体制の強化
- 脆弱性管理とパッチ適用の徹底
- ゼロトラストの導入
- インシデント対応訓練の実施
CISAは米国の機関ではあるが、その情報は日本企業にも広く活用されている。今後、情報提供機能が弱まれば、日本企業にとっても間接的な影響は避けられない。
OSSを装ったマルウェア拡散、サプライチェーン攻撃とは 1700超パッケージで拡大
結論
・OSSを装った不正パッケージによるサプライチェーン攻撃が拡大している
・複数の開発エコシステムを横断する「大規模かつ継続的」な攻撃である
・企業は依存ライブラリの管理強化が不可欠になる
Socketは4月7日(現地時間)、北朝鮮系が首謀者とみられるサイバー攻撃「Contagious Interview」に関する分析結果を公表した。今回確認された新たなクラスタでは、npm、PyPI、Go Modules、Rustのcrates.io、Packagistという5つの主要オープンソースエコシステムにまたがって、不正なパッケージが公開されていた(参考「North Korea’s Contagious Interview Campaign Spreads Across 5...」)。特徴は、npmやPyPI、Go Modules、Rust、PHPなど、複数のオープンソースエコシステムを横断して攻撃が展開されている点にある。
確認されている不正パッケージは1700以上に上り、いずれも正規の開発ツールを装って公開されていた。今回のクラスターでは、攻撃者は以下のようなパッケージを公開していた。ログ出力やライセンス管理など、一般的なユーティリティとして見える名称が使われており、開発者が気づかず導入してしまうリスクがある。
- npm:dev-log-core、logger-base、logkitx
- PyPI:logutilkit、apachelicense、fluxhttp、license-utils-kit
- Go Modules:github[.]com/golangorg/formstash
- crates.io:logtrace
- Packagist:golangorg/logkit
これらのパッケージは、debug、pino-debug、license、http、libprettyloggerなどの正規開発ツールを模倣しており、一見すると通常のユーティリティーライブラリーとして振る舞う。しかし実態はマルウェアローダであり、Contagious Interviewで確立された手法を複数エコシステムへ横断的に展開したサプライチェーン攻撃となっている。
これらのパッケージの実態は、外部サーバから追加のマルウェアをダウンロードして実行する「ローダ」として機能するものだ。特徴的なのは、インストール時ではなく通常の関数呼び出しの中で不正処理が実行される点で、コードレビューでは発見しにくい構造になっている。
さらに、攻撃は単一のマルウェアではなく、複数の手法を組み合わせた多層構造となっている。最終的には、認証情報やブラウザデータ、暗号資産ウォレットなどの窃取、遠隔操作といった被害につながる可能性がある。
Socketはこの攻撃を「高リソースかつ体系化されたサプライチェーン攻撃」と位置付けている。従来は一部のエコシステムに限定されていた手法が、複数の言語・プラットフォームへと拡張されている点が大きな特徴だ。
企業への影響と対策
このような攻撃は、開発プロセスそのものを狙う点で影響が大きい。企業はOSS利用において、依存関係の固定や新規パッケージの精査、外部通信を行うライブラリのリスク評価などを徹底する必要がある。
また、開発者個人に任せるのではなく、組織として利用ライブラリを把握・管理する体制づくりが重要になる。
FortinetとIvantiに脆弱性、すでに悪用された攻撃とは
結論
・FortinetとIvanti製品に関する脆弱性の悪用が確認された
・いずれも攻撃に悪用されているため緊急対応が必要
・該当製品の利用企業は即時の確認と対策が求められる
CISAは4月6日から12日にかけて既知の悪用済み脆弱性カタログに2件の脆弱性(CVE-2026-35616およびCVE-2026-1340)を追加した。対象となるのは、Fortinetの「FortiClient EMS」とIvantiの「Endpoint Manager Mobile」である。
影響を受ける製品はとバージョンは次のとおり。
- Fortinet FortiClient EMS 7.4.5から7.4.6までのバージョン
- Ivanti Endpoint Manager Mobile
これらの脆弱性は、すでに攻撃に利用されていることが確認されている点が重要だ。いわゆる“公開されただけの脆弱性”ではなく、実際の攻撃に使われている「悪用済み脆弱性」に該当する。
影響を受けるバージョンを利用している場合、攻撃の対象となるリスクがあるため、速やかなアップデートや対策の実施が求められる。
企業への影響と対策
こうした脆弱性は、発見から悪用までの期間が短縮している点が特徴だ。企業は脆弱性情報の継続的な収集と、迅速なパッチ適用体制の整備が不可欠になる。
特に、外部に公開されているシステムやリモートアクセス環境については優先的な確認が必要だ。
まとめ
OSSを装ったサプライチェーン攻撃が拡大し、攻撃は開発プロセスそのものを狙う段階に入っている。加えて、既に悪用されている脆弱性も確認されており、リスクはより現実的なものとなっている。
企業は、OSSの利用状況の把握や脆弱性管理の徹底など、「自前で守る」体制の強化が不可欠だ。
Microsoft、WSLを大幅強化へ 「遅い」「不安定」を解消、開発環境が変わる
