先ほど非常深刻なサプライチェーンのセキュリティ事件を目にしました。axiosというJavaScriptで最も人気のあるHTTPクライアントライブラリが攻撃されました。

簡単に言えば、攻撃者はaxiosのメインメンテナのnpm上のアクセストークンを盗み、その後リモートアクセスのトロイの木馬を含む2つの悪意のあるパッケージ（バージョン1.14.1と0.3.4）を公開しました。これらはmacOS、Windows、Linuxを対象としています。これらの悪意のあるバージョンはnpmレジストリ上で約3時間公開されたままでした。

さらに恐ろしいのは影響範囲です。セキュリティ企業Wizの統計によると、axiosは毎週1億回以上ダウンロードされており、約80％のクラウドやコード環境に存在しています。これは潜在的に影響を受けるシステムの数が非常に多いことを意味します。セキュリティ企業Huntressは、悪意のあるパッケージが公開されてわずか89秒後に最初の感染を検知し、露出期間内に少なくとも135のシステムが侵害されたことを確認しました。

最も興味深いのは、axiosのプロジェクト自体にはすでにOIDC信頼リリースメカニズムやSLSAのトレーサビリティ証明といった最新のセキュリティ対策が導入されていたことです。しかし、それでも攻撃者は完全に回避しました。調査の結果、問題は設定にありました。プロジェクトはOIDCを有効にしながらも、従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用していたのです。その結果、攻撃者はOIDCを突破する必要なく、古いトークンだけで公開に成功しました。

この事件は何を示しているのでしょうか？最新で強力なセキュリティメカニズムであっても、設定の不備があれば無意味になるということです。axiosの例は、サプライチェーンのセキュリティは単なる技術的な問題だけでなく、運用の細部も非常に重要であることを警告しています。もしあなたのプロジェクトやアプリケーションがこうした広く使われているオープンソースライブラリに依存しているなら、今一度自分の依存関係のバージョンを確認する必要があるかもしれません。