Trivyサプライチェーン攻撃 — セキュリティツールが「凶器」になった日

Trivyは Aqua Security が開発しているOSSのセキュリティスキャナで、コンテナイメージやコードの脆弱性を検出してくれるツールだよ。2026年3月19日、そのTrivyのGitHub Actions（trivy-actionとsetup-trivy）が攻撃者グループ「TeamPCP」に乗っ取られたんだ。つまり「セキュリティの番人」そのものが侵入口になってしまったんだよ。

GitHub Actionsではバージョンを「タグ」で管理しているんだけど、攻撃者はaquasecurity/trivy-actionの76個のタグと、setup-trivyの全7タグを改ざんしたんだ。「Imposter Commit」という手法で、正規のリポジトリに見せかけた偽のコミットを紛れ込ませて、タグの参照先を悪意あるコードに差し替えたんだよ。

CI/CDパイプラインで使われているシークレット情報が根こそぎ狙われたよ。AWS IAMの認証情報、SlackやDiscordのウェブフックURL、その他の環境変数に入っているAPIキーなど。改ざんされたActionが実行されると、パイプラインのメモリ上にあるシークレットを収集して外部に送信する仕組みだったんだ。

かなり巧妙だったよ。窃取したデータはAES-256とRSA-4096で暗号化してから、タイポスクワッティング（正規ドメインに似せた偽ドメイン）のサーバーにアップロードしていたんだ。暗号化されているから、ネットワーク監視で中身を見ても何が送られているか分からない。通信先のドメインも一見すると正規っぽいから、気づきにくかったんだよ。

そうなんだ。Trivyの攻撃で窃取した認証情報を使って、CheckmarxのKICS GitHub ActionやLiteLLMのPyPIパッケージにも攻撃が波及したよ。これが「サプライチェーン攻撃」の怖いところで、1つのツールを侵害すると、そこから得た認証情報で芋づる式に別のプロジェクトにも侵入できてしまうんだ。

まず、Trivyを使っている場合はすぐに安全なバージョンに更新してね。trivy v0.69.3、trivy-action v0.35.0、setup-trivy v0.2.6が修正済みだよ。そして一番大事な対策は、GitHub Actionsをタグ指定ではなくコミットハッシュでピン留めすること。たとえばtrivy-action@v0.35.0ではなく、trivy-action@abcdef1234567890のようにSHAハッシュで指定するんだ。タグは差し替えられるけど、ハッシュは改ざんできないからね。

たしかに手間はかかるけど、DependabotやRenovateといったツールを使えば、ハッシュ指定のActionも自動でアップデート提案してくれるよ。あと、GitHub側も「タグの不変性」を保証する仕組みの議論が進んでいるんだ。それから、CI/CDのシークレットには最小権限の原則を徹底すること。本当に必要な権限だけを付与して、万が一漏れても被害を最小限に抑えるのが大切だよ。

そこが今まさに業界全体で議論されているポイントだね。OSSのサプライチェーンは「信頼の連鎖」で成り立っているけど、その連鎖のどこか1つが破られると全体が崩れる。だからSBOM（ソフトウェア部品表）で依存関係を可視化したり、SLSAやSigstoreのようなフレームワークでビルドの来歴を検証可能にする取り組みが急速に広がっているよ。

まさにその通りで、「誰が番人を見張るのか」という古典的な問いそのものだね。今回の事件は、セキュリティツールだからといって無条件に信頼してはいけないという教訓を業界全体に突きつけたよ。ツールの導入だけでなく、そのツール自体の供給経路の安全性まで検証する「ゼロトラスト的な発想」がCI/CDにも必要な時代になったんだね。