axiosのサプライチェーン攻撃と「映画級」社会工学──算力逼迫とフロント論、Adobeのhosts
axiosのサプライチェーン汚染とハリウッド映画のような手口
記事執筆時点の直近、有名なJavaScriptライブラリaxiosがサプライチェーン汚染(パッケージの悪意ある差し替え)に遭いました。攻撃者が公開用トークンを入手し、直接新バージョンを公開したうえでトロイの木馬を仕込んだ、という筋です。
ソフトウェアの「供給網への混入」自体は珍しくありませんが、新しさは公開トークンがどう漏えいしたかにあります。背景のストーリーはハリウッド映画のようで、用心深くしていても防ぎきれない印象です。
axiosはもっとも広く使われるJSライブラリのひとつで、週次ダウンロード数はおよそ1億回に近いとされるため、今回の感染面は大きくなりました。
さらにマルウェアの悪性度は高く、公式の除去・対応の説明では、もし感染してしまった場合、端末上のシークレット・トークン・資格情報はすべて無効化(ローテーション)する必要があるとされています。このトロジはディレクトリを走査して鍵類を収集し、外部へ送り出す、と伝えられています。
axiosのように超一流行のライブラリでは、各段階に整った防御があり、行単位のレビューも厳しいはずです。今回の攻撃は、それらを崩すために緻密に組み立てられた社会工学だった、と整理されます。
標的にしたのはリードメンテナの Jason Saayman 氏。本人の説明によれば、流れは次のようでした。
彼らは私の状況に合わせてプロセスを設計しており、具体的には次のとおりです。
- ある企業の創業者を装って連絡してきました。創業者の外見だけでなく、企業そのものもクローンしていました。
- そのうえで、実在するSlackワークスペースへの参加を促しました。ワークスペースはその企業のブランド表示や名称も含めて非常に信じやすく、設計が精巧でした。LinkedInの投稿を共有する専用チャンネルもあり、おそらく最終的には本物の企業アカウントへ投稿が行くのでは、と私は推測しました。全体として非常にリアルでした。企業のチームメンバーや、そのほかのオープンソースのメンテナを装ったアカウントもいくつか作られていたように見えます。
- コミュニケーション目的の打ち合わせが設定されました。会議はMicrosoft Teams上で、参加者は一団のように見えました。
- 会議では、私の環境の一部が古いと指摘されました。Teams関連だと思い込み不足コンポーネントを入れたところ、実体は**遠隔操作型トロイ(RAT)**でした。
- 手順はすべて整然としていて形式的に見え、振る舞いもプロフェッショナルでした。
ご覧のとおり、攻撃には脚本があり、各ステップが企画・準備・リハーサルを経て、相手一人向けにカスタムされ、罠に落ちるのを待っていた形です。
詐欺側は忍耐強く、事前コストも大きいです。まず企業の創業者を装って接触し、信頼を上げるために偽サイトまで用意する。次にSlackへ招き、議論やプロジェクト文書、宣材まで並び、本物のように見える。極めつけはTeamsでの社内会議で、詐欺師が一団となって画面に出てきて一緒に会議に付き合うのです。
会議が始まってしばらくすると、司会が「おかしいですね、あなたの環境だけ我々と違う。Microsoftの追加コンポーネントが古いのでは。最新版を送ります」と言います。参加者が待っているのを見て、深く疑わずにインストーラをダブルクリック──そうして公開トークンは一瞬で漏えいした、という流れです。
ここまで作り込むと、呆れるほどです。
これは、私が少し前に読んだインド関連の報道を思い出します。手の込み方はそれ以上で、こちらも映画さながらです。
昨年のクリスマス、インドニューデリーの77歳の女性は、「警察」からWhatsAppのビデオ通話を受けました。画面の隅には手話通訳まで表示されていた、と伝えられます。
警察官役は、銀行が口座のマネーロンダリングを把握したので調査が必要、協力しなければ資金を没収する、といった話をし、オンラインでの聴聞への「出頭」を促した、と報じられています。
あとになって媒体は「警察署」セットの写真を公開し、その精巧さが話題になりました。
本筋に戻ると、数日後、女性はオンラインの聴聞に臨み、「裁判官」が法庭で主宰し、資金記録を確認し「警察」の証言を聞き、女性へ質問した、という展開です。
最後に「裁判官」は当局が資産の合法性を確認する必要がある、毎日警察とビデオでつながり質問に答え、調査が尽きるまで続けるべきだ、と告げた、とされています。
事件でいちばん印象的なのは、16日連続で女性がカメラをオンにしてつなぎ続けた点で、その間に詐欺側がどれだけ演じたかが引用されています。
その16日のうちに、女性は交代で当たる「警察署」の警官たちを次第に好きになっていった。彼女は彼らを「自分の子どもたち」と呼び始え、彼らも彼女を「母さん」と呼び返した。
夜はいちばん若い警官とヒンドゥー教の聖典を一緒に読み、その警官は感銘を受けた箇所を送ってほしいと頼んだ。
「家族のようでした」と女性は回想する。「『女士、できるだけ早く解決したい。昼夜を問わずあなたのために働いています』と言ってくれました」
16日間、朝から晩まで語り、聖典を共に読み、人生相談まで深夜に及ぶ──映画にしたらドラマ性が強すぎる、という感想になります。
女性はほとんど疑わず、投資を売却して合計9回、偽警察口座へ計160万米ドルを送金した、と報じられています。
翌日、「警察の子どもたち」と再びつなごうとしても、もうつながらなかった、という結末です。
この二つの例からわかるのは、現代のオンライン詐欺が脚本どおりの精密運用まで到達し、当たりやすさが高い、という点です。さらにAIが加われば見分けがほぼ不可能に迫る、という懸念も添えられます。
Web開発には「クライアントからのリクエストはすべて疑う。悪意あるものとして扱う」という規律があります。現実世界側でも、同じ前提が必要になるのでは、という結論にもつながります。すなわち、見知らぬ相手はすべて疑い、悪意ある詐欺の可能性を既定とする、という態度です。
計算資源(コンピュート)は依然として逼迫している
最近の出来事を三つ並べると、計算資源はいまも不足気味だと読めます。
一件目は、OpenAIが動画生成サービスSoraを終了(提供停止)した件です。主因は計算資源の不足で、コア事業にリソースを振り向ける必要がある、という説明です。
二件目は、Anthropicが、月額プランを第三者サービス(たとえば OpenClaw、OpenCode など)向けに使うことを正式に禁じた件です。
理由は、プラン枠を十分使うと、支払いを大幅に上回る計算が必要になるから、といった整理です。同社のコンピュートは貴重で、自社製品(たとえば Claude Code)を優先し、外部製品がデータセンタ負荷を増やし続けるのを許容しにくい、という含みです。
三件目は、記事が指摘するように、GitHubの今年最初の三か月のコミット量が、前年同期の14倍だった、という報告です。
背景にはAIによるコーディングの急増があり、昨年初めには Claude Code のようなものはまだ無かった、という対比がなされます。GitHub側のリソースでは増分に追随しきれず、障害が相次いだ、とも読み取れます。
過去三か月の稼働率は89.47%、目標にされがちな数字は**99.99%**だ、という指摘も添えられています。
以上は、主要なAI系サービス各社でコンピュートがタイトで、ハード面もまだ足りない、という整理を補強します。
含意としては、ハード価格の高止まりや上振れはしばらく続き得る、一方GitHubは無料枠を締め、課金中心へ寄せる可能性がある、といった読みが示唆されます。
フロントエンドは同じ仕事の繰り返しか
ある開発者が述べていますが、フロントの本質は同型の仕事だ、と。ユーザーにデータを見せ、操作させる、というパターンの反復です。
同じ問題を何度も解く必要はない、という立場です。
そこで作ったのが**adaptive-browser**(Adaptive Browser)です。AIがフロントのUIを自動生成し、バックエンドはデータとページの用途説明を渡せばよい、という構想です。
これがフロントエンドの「帰結」になり得るのか、はまだ分かりません。
Adobeがhostsファイルを書き換える件
Adobeの主力はCreative Cloud(Photoshop、Illustrator、Premiere などを含むCreative製品群)です。
あるユーザーはインストール後、インストールプログラムが自分のhostsファイルを書き換えたことに驚いた、と書き込んでいます。
キャプチャでは、Adobeがhostsへローカル向けのDNSレコードを足した様子が確認できます。
なぜアプリがOSのテキストファイルを触るのか。
関係者の説明としては、Creative Cloudの導入判定のためだ、と伝えられています。ユーザーが公式サイトへ行くとページが図中のドメインへリクエストを飛ばし、そのドメインのDNSがローカルhostsにしか無いため、サーバ側がリクエストを受け取れた時点でCreative Cloudが入っていると推定できる、といった仕掛けです。
これほど有名なソフトが、バックドアめいた発想で、しかも金を払う顧客を対象にするのは、言葉を失う、という感想になります。
