セキュリティレポート　2025/11/26

「セキュリティ対策は進んでいる。でも、なぜかいつも一歩遅れている気がする…」 — もしそう感じているなら、それはあなたの気のせいではありません。

今月は、あの恐ろしいNPMサプライチェーン攻撃「Shai-Hulud」の新たな波が開発エコシステム全体に文字通り「感染」を広げ、もはやあなたの防御壁の外側ではなく、開発の心臓部を狙ってきています。

貴社のシステムが最悪のシナリオ（開発環境のデータ全消去など）に直面する前に、今回のレポートでこの戦況を逆転させるために直ちに必要な「防護服」をご確認ください。

■ 今月のエグゼクティブサマリー

2025年11月は、NPMサプライチェーン攻撃「Shai-Hulud」の新しい脅威が複数報告されており、特に注意が必要です。

これらは開発エコシステム全体への感染拡大とシステムの破壊の点で非常に危険性が高いです。

また、米CISAが警告する既知の脆弱性（KEV）の活発な悪用も報告されており、国内では個人情報の誤送信や紛失といったインシデントも多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今月は、特にNPMパッケージエコシステムを狙った「Shai-Hulud」ワームの新たな攻撃波にご注意ください。これは、開発プロセスにおける最も脆弱なポイントの一つであるサプライチェーンを標的にしており、その影響の広範さと破壊力が最大級であるためです。

■ NPMパッケージエコシステムにおける大規模サプライチェーン攻撃

脅威の概要

新しい「Shai-Hulud」自己複製型ワームの亜種により、約640個のNPMパッケージが感染しました。このワームは、実行時にNPMトークンを検索し、アクセス可能なパッケージに自身を伝播させるためのpost-installスクリプトを注入、悪意のあるバージョンとして公開します。特に、今回は伝播にpreinstallスクリプトに依存しており、開発マシンやCI/CDパイプライン全体に影響範囲が劇的に拡大しています。

重大な影響

攻撃の目的は、GitHub、NPM、AWS、Google Cloudなどの開発者シークレットや認証情報を窃取することです。さらに、ワームが利用可能なトークンを見つけられない場合、Windowsではユーザーデータを削除し、Unixベースシステムではすべてのファイルと空のディレクトリを消去する破壊的な機能を実行します。この攻撃により、Zapier、AsyncAPI、Postmanなどの主要なパッケージを含む、月間合計1億3000万回以上のダウンロード数を持つパッケージが侵害されました。

対策

1. 侵害の兆候（IoCs）がないかシステムをスキャンし、直ちに確認してください。

 2. 潜在的に侵害されたシークレット（SSHキー、GitHubおよびクラウドの認証情報、トークン）を速やかにローテーションし、強力な多要素認証（MFA）を強制適用してください。

 3. CI/CDパイプラインを脅威対象として認識し、ライフサイクルスクリプト（特にpreinstall/postinstallフック）の制限または監査を実施し、パイプラインの防御を強化してください。

【その他の脅威の動向】

■ Oracle Identity Managerの脆弱性の悪用

Oracle Fusion Middlewareの脆弱性（CVE-2025-61757）が、リモートコード実行の危険性があるとして米CISAのKEVカタログに追加されました。これは2025年10月に修正済みですが、既知の悪用が確認されているため、迅速なパッチ適用が求められます。

■ WSUS RCE脆弱性悪用によるShadowPadの展開

パッチ済みのWSUS RCE脆弱性（CVE-2025-59287, CVSS 9.8）が悪用され、中国関連APTグループが利用するShadowPadマルウェアが展開されていることが報告されました。SYSTEM権限でのコード実行が可能となるため、パッチ適用とアクセス制限が重要です。

■ 悪意のあるAI（ダークLLM）がサイバー犯罪を加速

WormGPT 4やKawaiiGPTといった悪意のあるLLMが登場し、フィッシングメッセージの作成やポリモーフィックマルウェアの開発など、サイバー犯罪の自動化を促進しています。これにより、技術スキルの低い攻撃者でも高度な攻撃が可能となり、デジタルリスクの新しい基準となっています。

最後に

今月は特に、サプライチェーンと開発環境を狙った高度な攻撃や、悪用が確認された脆弱性への迅速な対応がセキュリティの鍵となります。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、適切なセキュリティ対策を講じていただくようお願いいたします。