ソフトウェアサプライチェーン攻撃の脅威、深刻化か
見出し
現代のプロダクト開発において、コードベースの約80%はオープンソース(OSS)に依存しているとされます。攻撃者はこの依存関係を「最も侵入しやすい経路」として標的としており、その脅威は深刻化しています。2025年10月から12月のわずか3ヶ月間で、約39万件超の新たなマルウェアパッケージが特定され、これは前年同期比で約476%の急増を記録したと説明されています。axiosやlitellm、Shai-Hulud npmワームといった事例も報告されています。
また、AI(LLM)の普及により、AIが実在しないパッケージ名を生成する「幻覚(ハルシネーション)」が約18%から21%の確率で発生する可能性が指摘されています。攻撃者はこの隙を突いて同名の悪性パッケージを公開し、AIを利用する開発者が自動で取り込んでしまうリスクが顕在化しているといいます。悪性パッケージは、混入した瞬間に認証情報の窃取やインフラの破壊が完了する可能性があるため、従来の既知の脆弱性(CVE)対策だけでは不十分であり、即時の検知と対応が不可欠であるとされています。
新ソリューション、3つの特徴で多層防御を構築
同社が提供を開始した新ソリューションは、ソフトウェアサプライチェーン攻撃対策における工数とコストの削減に寄与するとし、以下の3つの特徴を持っています。
SBOMによる継続的な自動監視と即時通知
SBOM(ソフトウェア部品構成表)を自動生成し、脆弱性及び悪性パッケージを継続的に可視化します。有名パッケージの侵害など「災害級」の事案が発生した際には自動通知を行い、SBOM管理と脆弱性の自動検知を提供するとしています。
インシデント発生時の実効的なサポート
侵害が検知された場合、単なる通知に留まらず、攻撃の意図(情報窃取、破壊、マイニング等)を分類します。セキュリティ専門家による詳細な速報レポートが提供され、利用者の状況に応じて専門家が初動対応までサポートするとしています。
専門家による高度な検知エンジン
IssueHuntのリサーチチームが、最新のマルウェアデータセットや独自の監視等から得た知見をエンジンに反映しています。独自のワークフローを用いて様々な情報ソースを精査し、収集した情報をもとに事後対応の詳細までサポートするとしています。
2つのプランと幅広い対応範囲
お客様のニーズに合わせて、「Basic Plan」と「Advanced Plan」の2つのプランが提供されます。
Basic Planでは、継続的なSBOM管理、定時・即時スキャンによる脆弱性と悪性パッケージの検出、侵害発生時の通知、詳細レポート提供を行います。
Advanced Planは後日詳細が発表される予定で、Basicの内容に加え、ローカル環境やCI環境におけるインストール時のブロック機能など、事前防止策の強化が実装される見込みであるとしています。対応範囲はnpm、PyPI、RubyGems、Maven、NuGet、Go Modules、Cargo、Packagistなど、幅広いパッケージに対応するとしています。
IssueHunt株式会社とは
IssueHunt株式会社は、東京都中央区日本橋茅場町一丁目8番1号に本社を置く企業です。代表取締役は横溝 一将氏。ミッションに「つくろう。市場を、前例を。」、ビジョンに「つながる世界の、ベースラインになる。」を掲げ、プロダクトセキュリティ総合支援サービス「IssueHunt One」を提供しています。同社はこれまで、日本電気株式会社、株式会社SUBARU、Sansan株式会社、株式会社サイバーエージェントなど、多数の企業にサービスを提供している実績があります。
サービスサイト: IssueHunt One
問い合わせ先
本サービスに関するデモの依頼や詳細は、同社ウェブサイトより問い合わせが可能であるとしています。
問い合わせ: https://issuehunt.jp/contact
ソース元: プロダクトセキュリティ統合支援サービス「IssueHunt One」を提供するIssueHunt株式会社、悪性パッケージや脆弱性を検知・改修までサポートする新ソリューションを提供開始
https://issuehunt.jp/