チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「pip installで導入したAIライブラリ、本当に安全なんでしゅか?」
「GitHubのコードは確認したけど、PyPIのパッケージが汚染されることってあるんでしゅか……」
チップスボス、LiteLLMっていうAIのライブラリがサプライチェーン攻撃を受けたって聞いたんでしゅ!どういう仕組みで侵害されたんでしゅか?
ボスCI/CDパイプラインを起点にした多段階の攻撃だ。Trivyのセキュリティスキャナを汚染したTeamPCPが、そのCI/CDを使うLiteLLMのPyPI認証情報を盗み出し、悪意あるパッケージを公開した。「GitHubは正常でも、PyPIは汚染されている」という盲点を突いた手口だ。
AI開発で広く使われるライブラリが、ソースコードは正常なままでPyPIの配布パッケージだけ汚染されるという手口が現実のものとなりました。
月間数千万回ダウンロードされるLiteLLMへの攻撃は、AIエコシステム全体が標的になりうることを示しています(eSecurity Planet)。
この記事では、攻撃の仕組みと、AI開発者が今すぐ確認すべき対策を解説します。
攻撃チェーンの全体像を把握することで、AI開発環境のセキュリティリスクを正しく評価できます。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
今回の攻撃は、同じ攻撃グループTeamPCPによる連鎖的なサプライチェーン侵害です。
攻撃は2026年3月19日、オープンソースのセキュリティスキャナ「Trivy」のGitHub Actionが改ざんされることから始まりました。
3月24日、LiteLLMのCI/CDパイプラインが改ざんされたTrivy GitHub Actionを実行したことで、GitHubのActionsランナーからPyPI公開用トークンが窃取されます。
攻撃者はそのトークンを使って、通常のCI/CDを経由せずに直接PyPIへ悪意あるバージョン(1.82.7および1.82.8)を公開しました。
このサプライチェーン攻撃の流れをまとめると以下の通りです。
悪意あるバージョンはPyPIが約3時間で隔離しましたが、その間にインストールした開発者の環境は被害を受けた可能性があります。
重要なのは、GitHubのソースコードを確認しても汚染に気づけないという点で、従来の「ソースコードを見て判断する」という安全確認が機能しません。
汚染されたパッケージには、3段階の実行チェーンが仕込まれていました。
チップス「3段階の実行チェーン」って……具体的に何をされるんでしゅか?
ボスまず認証情報を一括収集し、次にKubernetes環境に横展開し、最後にバックドアを仕込む。一度感染すると、パッケージを削除しても攻撃者のアクセスが継続する可能性がある。
汚染されたLiteLLMパッケージが実行すると、まず.envファイル・SSHキー・クラウド認証情報・Kubernetes設定・APIキーなどの機密情報を収集して流出させます。
続いてKubernetes環境への横展開を試み、最後にシステムレベルのバックドアをインストールして永続的なアクセスを確立します。
AI開発環境では複数のLLMプロバイダーAPIキーやクラウドリソースへのアクセス権が集約されており、一度の感染で広範な被害が発生します。
AI開発者・MLエンジニアが今すぐ確認すべき対応です。
TeamPCPはTrivy・Checkmarx・Open VSX・LiteLLM・Telnyxと連鎖的に攻撃を拡大しており、AI開発ツールチェーン全体が標的になっています。
「人気のOSSだから安全」という前提は、もはや成立しません。
LiteLLMへのサプライチェーン攻撃は、AIエコシステムを支えるライブラリが攻撃者の新たな標的となっていることを明確に示しています。
GitHubのソースコードが正常でも、PyPI配布パッケージが汚染される可能性を常に意識する必要があります。
CI/CDパイプラインのGitHub Actionバージョン固定と、依存パッケージのハッシュ検証は、今日から取り組める最も効果的な対策です。
ボス「GitHubを確認した」だけでは足りない時代になった。CI/CDパイプラインのアクション固定と、パッケージハッシュの検証を今日から実施しろ。
チップスpip installって普通にやってたんすけど、こんなリスクがあるんでしゅね!ハッシュ検証って初めて聞いたでしゅ……早速調べますっす!
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
