サプライチェーン
サプライチェーン攻撃 対策ガイド
依存パッケージや開発ツールを経由した攻撃が増えています。本ハブでは、サプライチェーンリスクの理解から開発端末・CI/CD・シークレット保護までを横断的に整理します。
まず押さえる用語
マルウェア 悪意のあるソフトウェアの総称。ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア・アドウェアなどが含まれる。感染経路は… XSS 攻撃者が悪意のあるスクリプトをWebページに埋め込み、他ユーザーのブラウザで実行させる攻撃。反射型・蓄積型・DOMベースの3種類… CSRF 認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンとSame… サプライチェーン攻撃 ソフトウェアのビルドパイプライン・オープンソースライブラリ・ITベンダーなど「信頼されたサプライヤー」を踏み台にして最終標的に侵… SBOM ソフトウェアを構成するライブラリ、依存関係、バージョン、供給元を一覧化した部品表。… SCIM IdPとSaaS間でユーザー作成、更新、無効化、グループ同期を自動化するための標準プロトコル。… SLSA ソフトウェア成果物のビルド、来歴、改ざん耐性を段階的に高めるためのサプライチェーンセキュリティフレームワーク。… DLP 機密情報や個人情報が意図せず外部へ送信・共有・保存されることを検知・制御する仕組み。… CORS ブラウザが異なるオリジン間のリソース共有を安全に制御するための仕組み。… Secrets Management APIキー、パスワード、証明書、暗号鍵などの秘密情報を安全に保管、配布、ローテーションする運用。…
実務で使う(チェックリスト・対応手順)
関連する脆弱性(CVE)
関連ニュース・解説
- Nx ConsoleとTanStackのサプライチェーン侵害:開発端末で確認すること
- マネーフォワードGitHub不正アクセス ─ リポジトリコピーから考える開発組織の初動
- CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃
- 北朝鮮「Contagious Interview」— npm・PyPI・Go・Rust・PHPに1,700本超の偽パッケージを展開
- 週1億DLのaxiosに北朝鮮バックドア ─ UNC1069による3時間のサプライチェーン汚染
- AIツールが標的になる時代:LiteLLM汚染事件が示したCI/CDパイプラインの死角