チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「SLSA証明付きでもマルウェア混入って、何を信じればいいでしゅか?」
「Red Hat従業員のGitHubが乗っ取られて、コードレビューも素通りって怖すぎでしゅ……」
チップスうちもnpm依存だらけでしゅ……どこから手をつければいいんでしゅか?
ボスふふふ、サプライチェーン攻撃は「上流の信頼」を前提にしない設計が要るな。今回の手口を知れば、自社で削るべき盲点が見えるぞ。
本記事ではRed Hat関連npmパッケージへのMiasma混入事件と、TeamPCP系マルウェアの広がり、開発組織が取るべき防御強化策を整理します。
読み終える頃には、SLSA時代でも通用するnpm依存管理の見直しポイントが手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずはWiz Researchが2026年6月1日に公表した事実関係を整理します。
攻撃者はRed Hat従業員のGitHubアカウントを侵害し、frontend-componentsやjavascript-clientsなど複数のRedHatInsights傘下リポジトリへ、レビューを通さない「オーファンコミット」を直接プッシュしました。
その上でGitHub Actionsの`id-token: write`権限を悪用し、npm公開用OIDCトークンを取得して有効なSLSA Provenanceを付けたままMiasma入りパッケージを公開しています。
Miasma自体は2026年5月にTeamPCPがオープンソース公開した「Mini Shai-Hulud」を流用したもので、表面の名称をDune系からギリシャ神話系に置き換えただけで中身はほぼ同一です。
新機能としてGCPとAzureのクレデンシャル収集が追加され、感染ごとに一意のキーで暗号化されたペイロードを生成するためハッシュベースの検出は通用しません。
事件の主要数値は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 発覚日 | 2026年6月1日(Wiz Research) |
| 対象 | @redhat-cloud-services配下32本以上 |
| ダウンロード | 週間約8万件 |
| 侵入経路 | Red Hat従業員GitHubアカウント乗っ取り |
| マルウェア | Miasma(Mini Shai-Hulud派生、GCP/Azureクレデンシャル収集) |
チップス正規アカウントから正規署名で出されたら、見抜きようがないでしゅ……。
ボスそこが本質だ。鍵は「コミット履歴の正しさ」と「公開フローの監査」だな。署名は出発点であってゴールではない。
本件はSBOM整備やSLSA署名確認だけでは止められない点が、運用上もっとも痛い部分です。
まず実施すべきは、過去30日間で@redhat-cloud-services配下のパッケージを取り込んだ開発端末・CI/CD環境を洗い出し、GitHubトークンやクラウド認証情報を強制ローテーションすることです。
そのうえで、npm依存はバージョンの固定化と整合性チェック(npm install –ignore-scripts、npm audit signatures)を組み合わせ、postinstallスクリプトの実行を抑止する運用が有効です。
OSS公開側に対しては、メンテナアカウントへのハードウェアキーMFA必須化、保護ブランチ+必須レビュー設定、リリース署名と公開ワークフローの分離が再点検対象になります。
SLSA Provenanceは強力な仕組みですが、メンテナのGitが侵害されればフロー全体が汚染されるため、コミット履歴の異常検知も並行して導入する必要があります。
具体的な対策をまとめると次のとおりです。
チップスOIDC便利だから、ついつい広めの権限で組んじゃってるでしゅ……。
ボスそこを攻撃者が狙っている。今回の事件を教材にして、ワークフロー権限の見直しを通せば、社内説明にも説得力が出るぞ。
Miasma事件は、SLSA Provenanceや署名検証といった最新のサプライチェーン防御がそろっていても、メンテナアカウントとワークフロー権限が崩れれば容易に突破できることを示しました。
npm依存の棚卸し、postinstallスクリプト制御、メンテナ側のハードウェアキーMFA、OIDC権限の最小化を組み合わせ、「人と権限」を中心に据えた防御へ進める必要があります。
サプライチェーン攻撃が高頻度・高巧妙化する2026年において、開発組織の足腰を強くする実務はますます重要度を増しています。
こうしたDevSecOps領域の実装に挑みたい方は、ぜひセキュリティフリーランス案件で多様な現場を経験してみてください。
参考: Wiz Blog「Miasma: Supply Chain Attack Targeting RedHat npm Packages」 / Microsoft Security Blog「Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
