チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちのプロジェクトもnpm経由でビルドしているけど、どこまで巻き込まれているの?」
「Trusted Publishingを使っていればサプライチェーン攻撃は安全だと思っていたのに…」
チップスボス、npmにまた怪しいパッケージが混ざってたんでしゅよね。IronWormって何でしゅか?
ボスRust製のinfostealerだ。最大の特徴は、自分自身でnpmに新しい悪意あるパッケージを公開していく『自己増殖』だな。
本記事ではIronWormの実態と、なぜTrusted Publishingが回避策にならないのか、そして開発組織が今夜から取れる対策を整理します。
サプライチェーン攻撃は外部ライブラリだけの問題ではなく、自社のCI/CD設計にも踏み込んで考える必要があります。
読み終えた時には、自社CIへの侵入経路の見直しと、当面の検知ポイントが整理できます。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
まずは攻撃の入口と、IronWormの中身を順に押さえます。
BleepingComputerの報道によれば、攻撃の起点は『asteroiddao』というnpm公開者アカウントの乗っ取りでした。
攻撃者はこのアカウント経由で、Rust製のELFバイナリを同梱したパッケージを公開し、preinstallスクリプトでインストール時に自動実行させる仕組みを仕込みました。
結果として36パッケージにIronWormが混入し、研究者の検知で大規模拡散直前に押さえ込まれた格好です。
IronWormはRustで実装されたinfostealerで、開発者環境に存在しがちな鍵情報を網羅的に拾い上げる挙動を持ちます。
標的にしている主な情報は以下のとおりです。
チップスローカルの.envファイルもごっそり持っていかれるってことでしゅか?
ボスそういうことだな。しかも単に盗むだけではなく、盗んだ認証情報で次のパッケージを侵害していく。これがIronWormの厄介な点だ。
次に、IronWormが「自己増殖」と呼ばれる所以と、開発組織が取れる現実的な対策を整理します。
注目すべきは、IronWormが窃取した認証情報のなかに『npm Trusted Publishingワークフロー関連のシークレット』が含まれている点です。
これにより、別の開発者アカウントや別パッケージのリリース経路を乗っ取り、自動的に追加パッケージへIronWormを横展開できる構造ができ上がります。
Trusted Publishing自体は本来、長期トークン削減のためのセキュリティ強化機能ですが、ワークフロー側のシークレットが平文で漏れれば攻撃者の足場として機能してしまいます。
preinstallスクリプトを契機にした即時感染を断つには、依存導入そのものを見直す多層防御が要ります。
優先度の高い順で、取り組みやすいアクションを整理します。
npm install --ignore-scriptsを既定とし、必要時のみ限定許可
チップスpreinstallを切るだけで、かなり食い止められるんでしゅね!
ボスそうだな。詳しい感染パッケージ一覧はBleepingComputerの報道を参照するといい。
IronWormは、開発者アカウント乗っ取りからpreinstall実行、認証情報窃取、自己増殖までを一連の流れに組み込んだサプライチェーン攻撃の進化形です。
npm Trusted Publishingやクラウド資格情報のように『便利な仕組み』が、シークレット管理の運用次第で逆風になる構造を改めて思い出させます。
自社CIの依存導入とシークレット運用を今一度点検し、サプライチェーン防御を一段階引き上げていきましょう。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
