チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Jenkinsプラグインが改ざんされたら、自社のソースコードまで盗まれてしまうの?」
「セキュリティ会社のツールがハッキングされるなんて、何を信じればいいの?」
チップスボス!Checkmarxの「セキュリティテストプラグイン」が改ざんされていたって、ちょっと洒落にならないでしゅよ…
うちのCI/CDにも入ってる気がするでしゅ。
ボスそうだな、セキュリティ会社のツール自体がサプライチェーン攻撃の踏み台になった事案だ。
2026年5月8日にCheckmarxが正式警告を出して、対応バージョンへの更新を呼びかけている。
Checkmarxはアプリケーションセキュリティテストの主要ベンダーですが、自社のJenkinsプラグインが改ざんされて配布されるという事態に追い込まれました。
本記事では事案の経緯と、CI/CDパイプラインを守るために今すぐすべきチェックを解説します。
「セキュリティツール経由でやられる」という、最も避けたいパターンの実例を見ていきましょう。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
Checkmarxは2026年5月8日(金)、自社が提供するJenkins用のApplication Security Testing(AST)プラグインに改ざん版が公開されていたと発表しました。
このプラグインは、Jenkinsビルドパイプラインの中で脆弱性スキャンを実行するためのもので、ソースコードと認証情報にフルアクセスを持ちます。
この事案は単発ではなく、2026年3月以降続いているCheckmarxへの一連のサプライチェーン攻撃の続報という位置付けです。
当初はTeamPCPと呼ばれるグループが起点となり、後にLapsus$系の恐喝集団が関与したとされます。
Checkmarxは2.0.13-829.vc72453fa_1c16(2025年12月公開)以降を使っているか確認し、最新の2.0.13-848.v76e89de8a_053へアップデートするよう呼びかけています。
| 項目 | 内容 |
|---|---|
| 影響対象 | Checkmarx Jenkins ASTプラグイン |
| 確認すべき版 | 2.0.13-829.vc72453fa_1c16以降 |
| 修正版 | 2.0.13-848.v76e89de8a_053 |
| 公表日 | 2026年5月8日 |
| 背景 | 2026年3月以降のCheckmarxサプライチェーン攻撃の続報 |
チップスセキュリティ製品の中身が悪意のあるコードに置き換わってたんでしゅか…
ボスそうだ。CI/CDの中で動くプラグインだから、ソースコードもクラウド認証情報も丸見えになる。
影響範囲の特定が一番難しい類いだな。
セキュリティテスト系プラグインは、ビルド成果物・ソースコード・クラウド資格情報すべてに触れる「特権コンポーネント」です。
改ざんされた場合の影響は通常のライブラリ汚染とは比較になりません。
まずはJenkins管理画面の「プラグインマネージャー」で、Checkmarx関連プラグインのバージョンを確認しましょう。
改ざん影響期間中に動かしていた場合は、ビルドノードでアクセス可能だったクレデンシャルを総入れ替えするのが安全策です。
個別のパッチを当てるだけでは、また同じ轍を踏みます。
サプライチェーン全体を可視化するSBOM運用と、CI/CD環境を「使い捨てインフラ」として扱う設計が現実的な答えです。
取り組むべき設計指針は以下のとおりです。
チップスビルドノードを使い捨て化、ってめんどくさそうでしゅが…
ボス最初は手間に感じるが、改ざんプラグインが紛れ込んでも傷は最小限になる。
長期的には運用も楽になるはずだ。
詳細はSecurityWeekの報道を参照してください。
セキュリティベンダーのツールだから安全、という前提はもう成り立ちません。
むしろビルドプロセスやランタイム特権を持つ分、攻撃価値が高い部品と見なすべきです。
チップス「セキュリティ会社の製品を入れたから安心」って思考、ヤバいでしゅね。
ボスその思考停止が最大の脆弱性だ。
導入後も継続的にバージョンとログを見続ける運用に変えていけ。
CI/CD周りの設計改修は、Jenkins経験と暗号鍵運用の両方を理解する人材が必要です。
社内で手が足りないなら、外部のセキュリティフリーランス活用も視野に入れてください。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
