「使っているだけ」では、もはや無罪ではない
あなたのプロジェクトに`axios`は入っているか?
答えが「イエス」なら、この話は他人事ではない。週間ダウンロード数が5億回を超える世界最大級のJavaScriptHTTPクライアントライブラリ「axios」のnpmパッケージが、サプライチェーン攻撃の標的となった。GitHubのaxios公式リポジトリに報告されたissue(#10636)によれば、攻撃者はパッケージの配布経路に侵入し、悪意あるコードを埋め込んだ可能性が指摘されている。
これは単なる「有名OSSのバグ」ではない。あなたが信頼して使っていたコードそのものが武器になる、という現代サイバー攻撃の最前線だ。
サプライチェーン攻撃とは何か——3分で理解する本質
従来のサイバー攻撃は「正面突破」だった。ファイアウォールを破り、パスワードを盗み、直接システムに侵入する。しかし近年主流になっているのは「信頼の経路を乗っ取る」手法だ。
開発者がnpmから`npm install axios`と打つ瞬間、その行為自体が攻撃の入口になる。悪意あるコードはあなたのコードベースに合法的に、しかも自動的に混入する。CIパイプラインが動き、テストをパスし、本番環境にデプロイされる——誰も気づかないまま。
記憶に新しい前例として、2020年のSolarWinds攻撃がある。米国政府機関を含む18,000以上の組織が被害を受けたこの事件も、正規のソフトウェアアップデートに悪意あるコードが混入されていた。axiosのケースは規模こそ異なるが、攻撃のメカニズムは同一だ。
---