チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「TanStackやMistral AIみたいに有名なライブラリが、まとめて侵害されたって本当?」
「うちもnpmとPyPIを毎日使っているけれど、自分の手元で何を確認すればいいの?」
チップス有名なAIライブラリまで侵害されたって聞いて、ちょっと頭が真っ白でしゅ……。
ボスふふふ。今回の事件は、GitHub Actionsという開発の屋台骨を経由した攻撃である点が重要だな。順を追って解きほぐしていこう。
2026年5月12日、TeamPCPと呼ばれる攻撃グループによるサプライチェーン攻撃「Mini Shai-Hulud」が公表され、TanStackやMistral AIなど170超のパッケージが侵害されたことが明らかになりました。
累積ダウンロード数は5億1800万を超え、CVE-2026-45321としてCVSS 9.6が付与されています。
本記事では攻撃の仕組みと、開発組織がいま実施すべき対応を整理します。
攻撃の手口とパッケージマネージャの限界を理解すると、自社のCI/CDで何を直すべきかが具体的に見えてきます。
順を追って整理していきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずは攻撃の規模感と、対象となったパッケージ群を確認します。
侵害対象はnpmとPyPIの双方にまたがり、合計170以上のパッケージで悪意あるバージョンが公開されました。
npmではTanStack 42パッケージ・84バージョン、UiPath、DraftLab、OpenSearch関連、Squawk関連が含まれ、PyPIではguardrails-ai 0.10.1、mistralai 2.4.6が確認されています。
JavaScriptフレームワークからLLMガードレール、AIゲートウェイまで広がっており、現代的なアプリケーション開発の主要レイヤーが横串で狙われた構図です。
主な侵害パッケージは以下のとおりです。
| エコシステム | パッケージ | 備考 |
|---|---|---|
| npm | TanStack 42パッケージ | 累計84バージョンを差し替え |
| npm | UiPath / OpenSearch / DraftLab | RPAや検索基盤に広く利用 |
| PyPI | guardrails-ai@0.10.1 | LLMガードレール用途 |
| PyPI | mistralai@2.4.6 | Mistral AI公式SDK |
チップスAIライブラリだけじゃなくて、フロントもバックも汚染されてるでしゅ!これは怖いでしゅ……。
調査ではGitHub上に「Shai-Hulud: Here We Go Again」という文字列を含む400以上のリポジトリが新規作成され、攻撃者の活動範囲が広いことが分かりました。
名称は2024年に流行した同名のワームに由来し、TeamPCPはその系譜を引き継ぐ攻撃者集団とみられます。
同じ手法で別エコシステムを狙うことも想定されるため、今後数週間は不審なリポジトリ動向を継続観測する必要があります。
次に、GitHub Actions OIDCを悪用した手口と、開発組織が即時に行うべき対応を整理します。
攻撃者はGitHub ActionsのOIDCトークンを悪用し、短期間有効な発行トークンでパッケージを公開しました。
従来のnpmトークン窃取と比べて足跡が残りにくく、正規CI経由でのリリースに見えるため検知が遅れやすい点が特徴です。
侵害バージョンには難読化されたrouter_init.jsが含まれ、実行環境をプロファイリングしながら認証情報を窃取する設計でした。
ボス正規のCI経由で堂々と公開される攻撃には、ハッシュやSBOMによる継続的な検証で対抗するしかない。
該当パッケージを使う組織は、まず該当バージョンを利用していないかを依存関係から洗い出します。
侵害が疑われる場合、npmダッシュボードでトークンを取り消す前に、対象端末・CIランナーをアイソレーションしてイメージを取得することが重要です。
そのうえでGitHub Actionsの権限スコープを最小化し、リリースワークフローのOIDC設定を見直す必要があります。
具体的なアクションは以下のとおりです。
調査の一次情報はThe Hacker Newsの報道で確認できます。
SBOMの整備状況は事故対応のスピードを左右する重要要素です。
Mini Shai-Huludは、CI/CDの便利機能であるGitHub Actions OIDCが攻撃者の足場にもなり得ることを示しました。
AI関連を含む170超のパッケージが汚染された今回の事案は、SBOMと最小権限の徹底だけが現実的な防御線になることを浮かび上がらせています。
該当パッケージを利用するチームは今日中に依存関係をスキャンし、必要な隔離とロールバックを進めるのが望ましい対応です。
チップスSBOMがあるとこういう時に本当に助かるでしゅね……整備しておかなきゃ。
ボスそうだな。事故が起きてから「どこで使っているか」を探していては手遅れになる。平時の備えが効くのだ。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
