1. 概要
サプライチェーン攻撃とは、標的とする組織の防御を直接突破するのではなく、サプライチェーン上に存在する相対的に防御が手薄な箇所を足掛かりとして侵入する攻撃手法です。IPA「情報セキュリティ10大脅威 2026(組織分野)」でも第2位に位置付けられており、業界全体で注目度の高いリスク領域です。サプライチェーン攻撃の経路は、取引先や委託先を踏み台とするものから、OSSパッケージなどの配布物に悪意あるコードを紛れ込ませるものまで多岐にわたります。
こうした攻撃のなかでも近年、開発ツールの拡張機能や、その配布工程を悪用する手口が問題となっています。攻撃者によって拡張機能の悪意あるバージョンが正規の配布元に紛れ込まされた場合、利用者は通常どおりツールの導入や更新を行うだけで、気付かないうちに悪意あるコードを端末へ取り込む可能性があります。特に、コードリポジトリやクラウド環境、CI/CD(継続的インテグレーション/継続的デリバリー)環境など、開発業務に必要な情報・権限を扱う開発者端末の侵害は、単なる1台の端末の問題にとどまりません。端末上の認証情報・操作権限を悪用された場合、これらのシステムへの不正アクセスにつながり、被害が組織の重要な資産へ波及するおそれがあります。
本記事では、実際の侵害事例をもとに、開発ツールを標的としたサプライチェーン攻撃のリスクと、組織として講じるべき対策を解説します。
2. 攻撃の手口
開発ツールを標的としたサプライチェーン攻撃では正規の配布経路が悪用されるため、利用者が通常どおりツールの導入や更新を行うだけで、端末が侵害されてしまいます。
2.1. 正規の配布経路を悪用した悪意あるバージョンの配布
開発ツールを標的としたサプライチェーン攻撃では、正規の配布元を経由して悪意あるバージョンが配布されます。攻撃者は、フィッシングやマルウェア感染などの手口で、ツールの公開権限を持つ開発者の認証情報を事前に盗み出します。その後、窃取した情報を使って正規のアカウントを装い、悪意あるバージョンを公開します。正規の認証情報による正規の手順での公開であるため、配布プラットフォーム側でも通常のリリースと区別することが困難になります。さらに、多くの開発ツールには自動更新の仕組みが備わっているため、悪意あるバージョンが正規の配布元に公開された場合、利用者の明示的な操作を伴わず、通常の更新として端末へインストールされるおそれがあります。
2.2. 悪意あるバージョンのインストールによって想定される被害
悪意あるバージョンがインストールされた場合、端末上で攻撃者の意図したコードが実行されます。これにより想定される主な被害は次のとおりです。
・認証情報・機密情報の窃取
開発者端末には、SSH秘密鍵、クラウド認証情報、.envファイルに記載されたシークレットなど、業務上必要な各種認証情報が保管されていることがあります。これらが窃取されると、攻撃者によるなりすましや、不正アクセスに利用されます。
・マルウェアの感染・永続化
バックドアやRAT(遠隔操作型マルウェア)が設置された場合、端末が継続的に攻撃者の制御下に置かれます。永続化が行われると、悪意あるバージョンを削除しただけでは侵害が解消しないケースもあります。
・企業資産への横展開・被害範囲の拡大
攻撃者は、窃取した認証情報や侵害した端末を足掛かりとして、内部ネットワークやクラウド環境、ソフトウェアのビルドやテストを自動化するCI/CD環境へ不正アクセスを試みます。開発者端末で利用可能な認証情報や権限の範囲によっては、端末1台の侵害が複数の企業資産への侵害に波及します。
図1 正規の配布経路を悪用したサプライチェーン攻撃の流れ
このように、正規の配布経路を経由するため入口での検知が困難であること、そしてインストール後の被害が端末内に留まらず企業のシステム全体に波及し得ることが、開発ツールを標的としたサプライチェーン攻撃の特徴です。
3. 事例紹介
本章では、2026年5月に発生したNx Console VS Code拡張機能の侵害事例について、侵害経路や被害規模、対応状況を紹介します。
3.1.Nx Console VS Code拡張機能の侵害
Nx Consoleは、ソフトウェア開発で利用されるフレームワーク「Nx」を、開発エディタ「Visual Studio Code(以降、VS Code)」から操作するための拡張機能です。2026年5月18日、この拡張機能の正規の配布元に悪意あるバージョン(v18.95.0)が公開される事案が発生しました。公開されていたのは取り下げまでの十数分程度というわずかな時間でしたが、その間にインストール、または自動更新を行った利用者は、端末が侵害された可能性があると報告されています。
3.1.1.侵害経路
開発元のNxの事後報告によると、攻撃者は事前に窃取した公開権限を持つ開発協力者の認証情報を悪用し、 Nx Console v18.95.0 を正規の配布元へ公開しています。VS Codeの設定にて拡張機能の自動更新が有効化されている場合、利用者は通常のアップデートとして気づかずに取り込んでしまいます。
3.1.2.悪意あるバージョンの挙動
公開された悪意あるバージョンは、VS Code上で拡張機能が有効化されると、端末上で認証情報を収集する不正なプログラムを実行しました。Nxの報告によると、収集が試みられた情報には以下が含まれます。
・GitHubトークン、GitHub CLIの認証情報
・npm(パッケージ管理ツール)のトークン
・AWS、GCPなどのクラウド認証情報
・SSH秘密鍵
・.env ファイルに記載されたシークレット
さらに、端末の再起動後も活動を継続するための永続化の振る舞いも確認されています。また、収集した情報の外部への送信には、通常のWeb通信に使われるHTTPS通信に加え、GitHub API通信や、本来はドメイン名の名前解決に使われるDNS通信など、複数の方法が使われていました。これらは正規の通信に紛れやすく、不審な通信としての検知を回避する狙いがあります。こうした多様な通信を見分けるには、後述するネットワーク監視が重要になります。
3.1.3.対応状況
開発元のNxは、配布元からの公開通知メールによって異常に気づき、短時間で公開を停止しました。あわせて、悪意あるバージョンの公開に使われた認証情報の再発行と、拡張機能の公開手順に複数人の承認を必須とする見直しを行ったと報告されています。
3.1.4.侵害を起点としたGitHubの内部リポジトリへの不正アクセス
Nx Consoleの侵害は、この拡張機能をインストールしていた利用者に実被害をもたらしました。その代表的な事例が、ソフトウェア開発プラットフォームを提供するGitHub社における内部リポジトリへの不正アクセス事案です。
2026年5月、同社は従業員の端末が悪意あるバージョンのNx Consoleによって侵害された結果、約3,800件の内部リポジトリに不正アクセスされ、データが窃取されたと公表しました。顧客への影響については「内部リポジトリの外部に保管されている顧客データへの影響を示す証拠は確認されていない」と説明しています。一方で、内部リポジトリには顧客とのサポートのやり取りの一部などが含まれる場合があることを認めており、影響が判明した際には正規の手順で顧客へ通知するとしています。
内部リポジトリには、一般的にサービスのソースコードや設定情報、社内の運用ノウハウなどが含まれます。これらが外部に流出した場合、ソースコード解析による脆弱性の探索や、他のシステムへの侵入の足掛かりとして悪用されます。その結果、サービスの信頼性や事業継続に影響を及ぼす可能性があります。
3.2.本事例から見る開発ツール起点の侵害リスク
本事例は、正規の配布元から提供される開発ツールであっても攻撃経路として悪用され得ることを示しています。利用者は、通常どおりツールを導入・更新しただけで悪意あるバージョンを端末へ取り込む可能性があります。また、開発者端末の侵害は、単なる1台の端末の問題に留まりません。開発者端末には、内部ネットワーク、クラウド環境、CI/CD環境などへアクセスするための認証情報が保管されています。これらの認証情報が窃取・悪用されることで、端末1台の侵害が企業資産への不正アクセスや情報流出へ連鎖します。
こうした攻撃に備えるには、正規の配布元から提供されるソフトウェアも侵害され得ることを前提に、複数の観点から対策を講じることが重要です。次章では、具体的な対策を紹介します。
4. 対策
開発ツールを標的としたサプライチェーン攻撃では、正規の配布元や正規の認証情報が悪用されるため、入口の段階での検知が困難となります。また、侵害後の情報送信にも複数の通信経路が使われます。そのため、単一の対策ではなく、複数の対策を重ねる多層防御の考え方で備えることが重要です。
本章では、紹介した事例を踏まえ、有効な4つの対策とそれらを組み合わせた運用体制について整理します。
4.1.ソフトウェアインベントリ管理
開発ツールを標的としたサプライチェーン攻撃に備えるには、業務上利用するソフトウェアや拡張機能をあらかじめ定め、許可した製品・バージョンのみを利用できるようにするホワイトリスト運用が有効です。新たなツールや更新版を導入する際は、必要性や提供元、更新内容を確認したうえで許可対象へ追加します。これにより、未確認の更新版や未承認の拡張機能が端末へ自動的に展開されるリスクを抑えることができます。
また、自社環境で利用しているソフトウェアや拡張機能を平時から把握しておくことも重要です。侵害が判明した際に、自社端末に該当するバージョンの拡張機能がインストールされているかを迅速に確認できるかどうかが、初動対応の速度を左右します。そのため、端末にインストールされているソフトウェアや拡張機能の一覧を管理し、必要に応じて該当端末を洗い出せる状態にしておく必要があります。
4.2.EDRによる端末監視と封じ込め
EDR(Endpoint Detection and Response)は、端末上で実行されるプロセスやファイル操作、通信などの挙動を継続的に監視し、不審な動きを検知する仕組みです。Nx Consoleの事例では、拡張機能の有効化後に認証情報の収集や永続化を目的とした不審なプロセスが端末内で実行されたと報告されています。EDRを適切に導入・運用することで、こうした通常の開発作業とは異なる挙動を早期に検知し、迅速な端末隔離や原因調査へとつなげることが可能になります。
開発者端末は、ソースコードやクラウド環境への認証情報が集まる場所であり、侵害時の影響範囲が大きくなる傾向があります。EDRの監視対象として含め、不審な挙動が検知された際に速やかに封じ込めができる体制を整えることが重要です。
4.3.ネットワーク監視による外部通信の把握
ネットワーク監視は、FW(ファイアウォール)やIPS(不正侵入防止システム)、プロキシなどネットワーク上に設置されたセキュリティ機器のログを継続的に監視し、不審な通信先や通信量の異常を発見するための対策です。Nx Consoleの事例では、窃取した認証情報の送信にHTTPS通信、GitHub API通信、DNS通信を悪用した通信経路が使われていました。これらは正規の通信に紛れやすい通信経路ですが、通常時の通信パターンを把握しておくことで、未知の外部宛先への通信や、通常とは異なる時間帯での通信・通信量の急増といった異常に気づきやすくなります。
ネットワーク上での監視は、端末の挙動を監視するEDRとは異なるレイヤーのセキュリティ対策です。これらを組み合わせることで、侵害の兆候を複数の観点から確認することが可能です。
4.4.インシデント対応手順の整備
開発ツールを起点としたインシデントでは、1端末への対応にとどまらず、開発環境で利用される認証情報や、関連する企業資産まで含めて影響を確認する必要があります。Nx Consoleの事例での被害状況を踏まえると、以下のような手順を事前に整備しておくことが有効です。
・該当する拡張機能やパッケージの特定と停止・削除
・侵害された端末の隔離
・端末上に保管されていた認証情報の再発行
・コードリポジトリのアクセスログ、クラウド環境の操作ログ、CI/CDの実行ログの確認
・影響範囲の特定と、必要に応じた関係者への通知
特にログの確認は、侵害がどこまで波及したかを判断するうえで不可欠です。リポジトリへの不審なアクセスや認証情報の利用履歴、通常とは異なるクラウド環境の操作がないかを確認することで、端末上の侵害がその先の企業資産にまで到達しているかを判断できます。
これらの手順を実効性のあるものとするには、CSIRTを中心に、SOC、開発基盤担当、情報システム部門が連携できる体制を平時から整備しておく必要があります。どのアラートを起点に調査を開始し、誰が端末隔離や認証情報の再発行を判断するかを事前に定め、関係部門間で共有しておくことがインシデント拡大を防ぐために重要となります。
図2 開発ツール起点の侵害に備える多層防御
5. まとめ
2026年5月に発生したNx Consoleの侵害事例は、開発ツールを標的としたサプライチェーン攻撃における、組織が認識すべき二つのリスクを示しています。
① 正規の配布経路を通じて侵害されるリスク
正規の配布元から提供されるソフトウェアであっても、悪意あるバージョンが通常の更新として配布されるおそれがあります。利用者は通常どおりツールの導入や更新を行っただけで、気付かないうちに端末へ悪意あるコードを取り込む可能性があります。
② 開発者端末の侵害が企業資産へ波及するリスク
開発者端末には、業務上必要な認証情報や設定情報が保管・利用されていることがあります。そのため、端末1台の侵害が情報窃取にとどまらず、コードリポジトリ、クラウド環境、CI/CD環境などへの不正アクセスにつながるおそれがあります。
こうしたリスクに備えるには、正規のソフトウェアも侵害され得ることを前提とした多層防御を構築することが重要です。また、これらの対策を実効性のあるものとするためには、CSIRTなどのインシデント対応部門を中心に、関係部門が連携できる運用体制を平時から整備しておくことが重要です。
弊社では、こうした脅威に対応するセキュリティ監視サービスを提供しています。24時間365日のネットワーク監視に加え、エンドポイント監視も実施しており、継続的な監視体制の構築を支援します。ご活用をご検討ください。
6. 参考文献
[1] Nx Blog:Postmortem: Nx Console v18.95.0 supply-chain compromise
https://nx.dev/blog/nx-console-v18-95-0-postmortem
[2] GitHub Blog:Investigating unauthorized access to GitHub's internal repositories
https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/
[3] JVN:nxのNx Consoleにおける埋め込まれた悪意のあるコードに関する脆弱性
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017318.html
7. SSKの総合セキュリティサービスについて
SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
これらの当社総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。
【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp