axiosサプライチェーン攻撃の手口と開発チームが取るべき緊急対策

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「npmパッケージって、インストールするだけでマルウェアに感染するの?」
「axiosみたいなメジャーなライブラリまで危ないなんて、何を信じればいいの?」

チップス

ボス!axiosが乗っ取られたって聞いたでしゅ!
うちのプロジェクトでも使ってるんでしゅけど!?

ボス

ああ、北朝鮮系の攻撃グループがメンテナーのアカウントを奪って、バックドア入りのバージョンを公開した事件だ。
npm installしただけでRATが降ってくる。開発環境を狙った、厄介な攻撃だな。

2026年3月31日、月間1億ダウンロードを超えるJavaScriptライブラリ「axios」のnpmパッケージが侵害されました。
攻撃は約3時間で封じ込められましたが、その間にインストールした環境にはリモートアクセス型トロイの木馬(RAT)が仕込まれた可能性があります。
この記事では、攻撃の手口と、開発チームが確認すべき対策を解説します。

  • axiosのnpmメンテナーアカウントが奪取され、バージョン1.14.1と0.30.4にRATが仕込まれた
  • 悪意あるパッケージは約3時間で削除されたが、その間のインストール環境は侵害の恐れあり
  • Google脅威分析チームは北朝鮮系グループ(UNC1069)による攻撃と分析

自社の開発環境やCI/CDパイプラインが影響を受けていないか、確認方法を具体的にお伝えします。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

axios侵害の全容と攻撃の手口

今回の攻撃は、オープンソースのサプライチェーンを狙った高度なものでした。

メンテナーアカウント奪取からRAT配布まで

攻撃のタイムラインを整理します。
2026年3月31日 00:21〜03:20 UTC(日本時間9:21〜12:20)の約3時間が、攻撃が有効だった時間帯です。

  • 攻撃者がaxiosの主要メンテナー(jasonsaayman)のnpmアカウントを奪取
  • axios 1.14.1(latestタグ)と0.30.4(legacyタグ)を公開
  • 悪意ある依存パッケージ「plain-crypto-js@4.2.1」を注入
  • postinstallスクリプト経由でWindows/macOS/Linux向けRATをドロップ
  • 03:29 UTCにnpmから悪意あるバージョンが削除

latestタグが書き換えられたため、npm install axiosを実行した全員がバックドア入りバージョンをインストールする状態でした。
RATの名称は「WAVESHAPER.V2」。
ホスト名やOS情報の収集に加え、メモリ内でのPEインジェクションや任意のシェルコマンド実行が可能な本格的なバックドアです。

チップス

npm installしただけで感染するでしゅか!?
CI/CDで自動的にインストールしてたら気づかないでしゅよ……!

ボス

そこが狙いだ。
開発者のローカル環境だけでなく、ビルドサーバーやデプロイパイプラインも汚染される。
Googleの脅威分析チームは、この攻撃を北朝鮮系グループUNC1069の仕業と分析している。

開発チームが今すぐ確認すべき対策

影響を受けた可能性がある環境では、以下の確認と対処を進めてください。

影響確認と再発防止のチェックリスト

まず、自社環境が侵害されていないか確認するポイントです。

  • package-lock.jsonにaxios 1.14.1または0.30.4が記録されていないか
  • 依存ツリーに「plain-crypto-js」が含まれていないか
  • 3月31日 9:21〜12:20(JST)にnpm installを実行したCI/CDジョブがないか

該当した場合は、axiosを安全なバージョン(1.14.0以前または1.14.2以降)に固定し、関連する開発端末・ビルドサーバーのマルウェアスキャンを実施してください。

再発防止に向けては、以下の対策が有効です。

  • package-lock.jsonをコミットし、依存バージョンを固定する
  • npm auditやSnyk、Socket.devなどの依存関係スキャンをCI/CDに組み込む
  • npmアカウントの二要素認証(2FA)をチーム全体で有効にする

今回の事件は、月間1億ダウンロード規模のパッケージでも侵害が起きる現実を突きつけました。
「有名なライブラリだから安全」という思い込みは、もう通用しません。

まとめ

axiosのサプライチェーン攻撃は、npmメンテナーのアカウント奪取からわずか数時間で世界中の開発環境を脅かしました。
悪意あるバージョン(1.14.1、0.30.4)は素早く削除されましたが、その間にインストールした環境はWAVESHAPER.V2 RATに感染した恐れがあります。

package-lock.jsonの確認、CI/CDログの精査、依存関係スキャンの導入を早急に進めてください。
詳細はStepSecurityの分析レポートSnykの解説も参考になります。

ボス

サプライチェーン攻撃は、信頼の連鎖を断ち切る攻撃だ。
依存関係の管理は「開発の手間」ではなく「セキュリティ対策」として扱え。

チップス

うう……npm install怖くなってきたでしゅ。
ロックファイル、ちゃんと管理しますでしゅ……!

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次