チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Jenkinsプラグインが改ざんされたら、自社のソースコードまで盗まれてしまうの?」
「セキュリティ会社のツールがハッキングされるなんて、何を信じればいいの?」
チップスボス!Checkmarxの「セキュリティテストプラグイン」が改ざんされていたって、ちょっと洒落にならないでしゅよ…
うちのCI/CDにも入ってる気がするでしゅ。
ボスそうだな、セキュリティ会社のツール自体がサプライチェーン攻撃の踏み台になった事案だ。
2026年5月8日にCheckmarxが正式警告を出して、対応バージョンへの更新を呼びかけている。
Checkmarxはアプリケーションセキュリティテストの主要ベンダーですが、自社のJenkinsプラグインが改ざんされて配布されるという事態に追い込まれました。
本記事では事案の経緯と、CI/CDパイプラインを守るために今すぐすべきチェックを解説します。
「セキュリティツール経由でやられる」という、最も避けたいパターンの実例を見ていきましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Checkmarxは2026年5月8日(金)、自社が提供するJenkins用のApplication Security Testing(AST)プラグインに改ざん版が公開されていたと発表しました。
このプラグインは、Jenkinsビルドパイプラインの中で脆弱性スキャンを実行するためのもので、ソースコードと認証情報にフルアクセスを持ちます。
この事案は単発ではなく、2026年3月以降続いているCheckmarxへの一連のサプライチェーン攻撃の続報という位置付けです。
当初はTeamPCPと呼ばれるグループが起点となり、後にLapsus$系の恐喝集団が関与したとされます。
Checkmarxは2.0.13-829.vc72453fa_1c16(2025年12月公開)以降を使っているか確認し、最新の2.0.13-848.v76e89de8a_053へアップデートするよう呼びかけています。
| 項目 | 内容 |
|---|---|
| 影響対象 | Checkmarx Jenkins ASTプラグイン |
| 確認すべき版 | 2.0.13-829.vc72453fa_1c16以降 |
| 修正版 | 2.0.13-848.v76e89de8a_053 |
| 公表日 | 2026年5月8日 |
| 背景 | 2026年3月以降のCheckmarxサプライチェーン攻撃の続報 |
チップスセキュリティ製品の中身が悪意のあるコードに置き換わってたんでしゅか…
ボスそうだ。CI/CDの中で動くプラグインだから、ソースコードもクラウド認証情報も丸見えになる。
影響範囲の特定が一番難しい類いだな。
セキュリティテスト系プラグインは、ビルド成果物・ソースコード・クラウド資格情報すべてに触れる「特権コンポーネント」です。
改ざんされた場合の影響は通常のライブラリ汚染とは比較になりません。
まずはJenkins管理画面の「プラグインマネージャー」で、Checkmarx関連プラグインのバージョンを確認しましょう。
改ざん影響期間中に動かしていた場合は、ビルドノードでアクセス可能だったクレデンシャルを総入れ替えするのが安全策です。
個別のパッチを当てるだけでは、また同じ轍を踏みます。
サプライチェーン全体を可視化するSBOM運用と、CI/CD環境を「使い捨てインフラ」として扱う設計が現実的な答えです。
取り組むべき設計指針は以下のとおりです。
チップスビルドノードを使い捨て化、ってめんどくさそうでしゅが…
ボス最初は手間に感じるが、改ざんプラグインが紛れ込んでも傷は最小限になる。
長期的には運用も楽になるはずだ。
詳細はSecurityWeekの報道を参照してください。
セキュリティベンダーのツールだから安全、という前提はもう成り立ちません。
むしろビルドプロセスやランタイム特権を持つ分、攻撃価値が高い部品と見なすべきです。
チップス「セキュリティ会社の製品を入れたから安心」って思考、ヤバいでしゅね。
ボスその思考停止が最大の脆弱性だ。
導入後も継続的にバージョンとログを見続ける運用に変えていけ。
CI/CD周りの設計改修は、Jenkins経験と暗号鍵運用の両方を理解する人材が必要です。
社内で手が足りないなら、外部のセキュリティフリーランス活用も視野に入れてください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
