概要
Sonatypeは2026年第1四半期(Q1)のオープンソースマルウェア指標レポートを公開し、同期間に21,764件の悪意あるOSSパッケージが検出されたことを発表した。2017年以降の累計検出数は134万6,867件に達しており、現在も平均6分に1件のペースで新たな悪意あるパッケージが出現し続けている。今回のレポートで最も注目すべき知見は、攻撃者が新奇な手法よりも既存の「信頼」を悪用する「トラスト・アビューズ(Trust Abuse)」が最も成功率の高い攻撃ベクターとなっている点だ。
「信頼の悪用」が主流の攻撃手法に
Sonatypeの共同創業者兼CTOであるBrian Foxは、「Q1における最大のオープンソース攻撃が成功したのは、手法が斬新だったからではなく、ソフトウェアライフサイクルにすでに組み込まれた信頼を悪用したからだ」と述べている。具体的な攻撃手法としては、信頼されたパッケージの直接的な侵害、確立されたリリースワークフローへの悪意あるコードの注入、そして既知のツールへのアクセス権限の乗っ取りが挙げられる。
実際の事例として、広く利用されているHTTPクライアントライブラリ「Axios」の侵害や、コンテナセキュリティツール「Trivy」および大規模言語モデルプロキシ「LiteLLM」のリリースワークフローへの悪意ある変更が報告されており、攻撃者が開発者に馴染みのある著名なOSSプロジェクトを標的にしていることが浮き彫りになった。
エコシステム別の脅威状況と攻撃目標
レジストリ別の分布では、npmが全体の75%(1日平均46件)を占め、下流への影響範囲の広さから最も多く悪用されるエコシステムとなっている。次いでPyPIが全体の18%を占め、他のレジストリは大幅に低い割合にとどまっている。
攻撃の主な標的は開発環境やCI/CDパイプラインであり、その目的はトークン・暗号化キー・クラウド認証情報といった再利用可能な秘密情報の窃取だ。悪意あるパッケージの行動を分析すると、ホスト情報の窃取が約4,900件(22%)、認証情報の盗取が約4,200件(19%)、二次ペイロード配信の準備が約3,500件(16%)となっている。これらのデータは、攻撃者が単なるマルウェアのばら撒きではなく、高価値な認証情報を狙った組織的な活動を行っていることを示している。
防御の取り組みと今後の展望
Sonatypeは自社のRepository Firewallを通じて、Q1だけで136,107件のオープンソースマルウェア攻撃を阻止したと報告している。同社はOSSエコシステムへの信頼が攻撃者にとって武器となっている現状を踏まえ、組織はサプライチェーンセキュリティの強化、特にCI/CDパイプラインへの厳格な検証プロセスの導入が急務であると警告している。OSSの利用が拡大し続ける中、単に著名なパッケージを使用するだけでは安全とは言えず、継続的な監視と自動化された防御機構の整備が不可欠となっている。