普段使っているアプリやWebサービスの裏側では、世界中の開発者が作ったオープンソースの部品が何百個も組み合わさって動いています。その部品のひとつが密かに「毒入り」にすり替えられていたとしたら、どうなるでしょうか。CyberScoopの「axiosソフトウェア開発ツールへの攻撃が広範な被害を脅かす」は、まさにそんな悪夢のような事件を報じました。
何が起きたのか
axiosは、JavaScriptで最も広く使われるHTTP通信ライブラリです。Webサイトやスマホアプリがサーバーとデータをやり取りする際に使う基本的な道具で、npmというパッケージ配布サイトから週に約1億回ダウンロードされています。
2026年3月30日夜(米国時間)、攻撃者はaxiosの主要メンテナのnpmアカウントを乗っ取り、悪意あるコードを仕込んだバージョン(1.14.1と0.30.4)を公開しました。2つの汚染版はわずか39分の間に相次いで公開され、1.x系と0.x系の両方が毒入りになったのです。
汚染されたaxiosには「plain-crypto-js」という偽のパッケージが依存関係として追加されており、開発者が普段通り npm install を実行するだけで、Windows・macOS・Linuxすべてに対応した遠隔操作型トロイの木馬(RAT)が自動的にインストールされる仕組みでした。
わずか数時間で推定60万回ダウンロード
セキュリティ企業Socketは、この偽パッケージが「教科書通りのサプライチェーン型マルウェアだ」と指摘しました。悪意あるバージョンはnpmの latest(最新版)タグが付いていたため、何も指定せずにインストールした開発者は自動的に汚染版を取得してしまいます。
汚染版が公開されていたのは約2〜3時間でしたが、その間に推定約60万回ダウンロードされました。1週間で1億回ダウンロードされるライブラリだけに、わずかな時間でも被害は甚大です。
SANSインスティテュートの専門家は、攻撃者がRATを通じてAWSの認証情報やGitHubのアクセストークンを盗み取った可能性を指摘し、「被害の全容が判明するまで数週間かかるだろう」と警告しています。盗まれた認証情報を使って企業のクラウド環境に侵入する二次被害が懸念されています。
犯人は北朝鮮のハッカー集団
事件の翌日、Google脅威インテリジェンスグループは、この攻撃が北朝鮮系のハッキンググループUNC1069の犯行とみられると発表しました。UNC1069は2018年から活動が確認されている金銭目的の集団で、近年は仮想通貨業界やソフトウェア開発者を標的にしています。
今回使われたマルウェアは「WAVESHAPER.V2」と名付けられ、60秒ごとに攻撃者のサーバーと通信し、感染したコンピュータを遠隔操作できる高度なバックドアです。Google Cloud Blogの分析によれば、このマルウェアは同グループが過去に仮想通貨企業への攻撃で使った「WAVESHAPER」の進化版とされています。
北朝鮮のハッカー集団がソフトウェアのサプライチェーンを狙うのは今回が初めてではありません。しかし、週1億ダウンロードという超人気ライブラリを直接汚染したケースは前例がなく、npm史上最大級の攻撃とみられています。
記者の視点:「信頼」に依存するエコシステムの構造的脆弱性
今回の事件が突きつけたのは、現代のソフトウェア開発が抱える根本的な問題です。npmには200万以上のパッケージが公開されていますが、その多くは少数のボランティアが管理しています。axiosのような世界中で使われるライブラリでも、メンテナ1人のアカウントが突破されるだけで、何十万もの開発環境が一気に汚染されかねません。
日本でもaxiosは広く使われており、企業のWebサービスからスタートアップのアプリまで影響は避けられません。今回は2〜3時間で検出・削除されましたが、もし発見が遅れていたら被害は桁違いに拡大していたでしょう。
オープンソースの安全を守るために
今回の事件を受け、MicrosoftのセキュリティブログやSocketなど複数のセキュリティ企業が緊急の対応ガイダンスを公開しています。開発者は自分のプロジェクトでaxios 1.14.1または0.30.4を使っていないか確認し、該当する場合はすぐにバージョンを戻す必要があります。
この事件は、便利なオープンソースの部品を「信頼して使う」という現代の開発文化に、改めて警鐘を鳴らしました。依存関係のロックファイルの活用、二要素認証の徹底、そしてセキュリティ監視ツールの導入が、もはや「あると便利」ではなく「なければ危険」な時代に入っています。
