何が起きたか
Microsoftの公式GitHubアカウントから配布されていた暗号署名付きパッケージ73個が、認証情報を盗む高度なコードを仕込まれた状態で公開されていました。GitHubの自動検知システムが該当パッケージを無効化しましたが、表向きの理由は「利用規約違反」とのみ通知され、悪性であった事実は明示されませんでした。Microsoftが「調査のため一部リポジトリを一時削除した」と認めたのは月曜になってからです。
汚染パッケージは、開発者がAIコーディングエージェントで読み込んだ瞬間に28KBのペイロードを実行し、AWS・Azure・GCP・Kubernetes・パスワードマネージャー、さらに90超の開発者ツール設定から認証情報を抜き取ります。マルウェアはクラウド環境内で横方向に伝播し、他の開発者端末にも感染します。
なぜ重要か
5月にもMicrosoftのPython SDK「durabletask」がPyPI上で侵害されており、StepSecurityが詳細を報告しています。durabletaskは月40万ダウンロードを誇る分散ワークフロー基盤で、月内に公式リポジトリが2度突破された格好です。
攻撃者はTeamPCPと追跡される脅威グループで、使われたマルウェア「Miasma」は同グループが直近でOSS化した「Mini Shai-Hulud」のクローンです。さらに深刻なのは、Cloudsmithが指摘するように、SLSA来歴証明で使われるOIDCトークンそのものが標的になっている点です。署名・来歴という「信頼の基盤」が、認証情報奪取のチャネルとして逆用されています。同じ手口は別系統のRed Hatパッケージ汚染でも確認されており、業界横断の構造的問題に発展しつつあります。
論点——「署名されているから安全」は崩れた
公式アカウント・正規署名・自動ビルドという3点セットを揃えても、発行者の認証情報自体が盗まれればパイプラインを丸ごと迂回されます。AIエージェントがパッケージを開いた瞬間に発火するという挙動も、人間のレビューを前提とした既存の検収プロセスを無効化します。
💼 事業会社視点:これは自社にどう効くか
日本の事業会社にとって、この事案は「ベンダー署名さえ確認すれば安全」という前提が崩れたことを意味します。特に影響が大きいのはAzure・GitHub Copilot・GitHub Actionsに深く依存しているSaaS企業と受託開発各社です。Copilot Workspace等のAIエージェントを開発標準に組み込みつつあるチームでは、エージェントが新規パッケージを自動でフェッチした瞬間が侵害の起点になり得ます。
経営者・CTOが今週中に着手すべきは三点です。第一に、開発者端末から本番クラウドに直接届く資格情報の棚卸し——AWS/Azure/GCPの長期キーをエフェメラルなOIDC連携へ移し、被害範囲をセッション単位に閉じ込めること。第二に、AIエージェントが自動実行できるコマンドをサンドボックス/承認ワークフローで縛る運用ルールの明文化。第三に、SBOM取得とパッケージピン留めの義務化で、5月のdurabletask侵害版がまだ社内に残っていないかを実機で点検すること。EC事業者であれば、決済・在庫API鍵が開発端末から漏れた場合の取引停止フローも合わせて確認すべきです。「Microsoft公式だから」で止まる調達ガバナンスは、もはや株主説明に耐えません。
