シンジです。
2026年3月末、Ciscoに関する大規模なサイバー攻撃報道が相次ぎました。恐喝グループShinyHuntersは、300万件超のSalesforceレコード、300以上のGitHubリポジトリ、AWS関連データの保有を主張し、4月3日を期限とする「最終警告」を突きつけています。
ただし、この件を単に「Ciscoが攻撃された事件」と捉えるのは不十分です。現時点で最も有力視されている起点は、世界中のCI/CDパイプラインに組み込まれているオープンソース脆弱性スキャナー「Trivy」のサプライチェーン侵害です。セキュリティツール自体が攻撃ベクターになり得ることを示した、ゼロトラストの観点でも見過ごせない事案です。
本記事では、確認されている事実、報道ベースで有力とされる情報、攻撃者による主張を区別しながら、攻撃チェーンの全体像と日本企業が優先的に確認すべきポイントを整理します。
この件は3層で見ると分かりやすい
まず整理しておくべきなのは、この件には少なくとも3つの層があることです。
- Trivyを起点とするCI/CDサプライチェーン侵害(複数ベンダーの調査報告あり)
- Cisco開発環境への侵入報道(匿名情報源に基づく報道が中心、Cisco公式未確認)
- ShinyHuntersによる複数事案を束ねた恐喝(攻撃者主張、データ未公開)
この3つは相互に関連している可能性がありますが、すべてが同一の侵入経路として確認されているわけではありません。ここを分けて見ないと、事実関係を誤って理解しやすくなります。
攻撃チェーンの全体像
起点:Trivyの認証情報ローテーション不備(2月末〜3月初旬)
3月19日の大規模侵害には伏線がありました。Wiz、Palo Alto Networks、Microsoft等の調査報告によれば、2月末にhackerbot-clawと呼ばれる自律型ボットが、TrivyのGitHub Actionsワークフローにおける pull_request_target の設定ミスを悪用し、Personal Access Token(PAT)を窃取しました。
開発元のAqua Securityはこれを検知し認証情報をローテーションしましたが、複数の調査報告では、後続侵害につながる認証情報が残存していた可能性が指摘されています。インシデント対応は「検知した」だけでは不十分で、認証情報を完全に無効化・再発行できたかが成否を左右する、という教訓です。
Phase 1:Trivy本体の武器化(3月19日)
Wiz、Sysdig、Kaspersky、Palo Alto Networks等の調査報告によると、TeamPCPと名乗る脅威アクターは残存した認証情報を使って aqua-bot サービスアカウントを乗っ取り、以下の操作を実行しました。
aquasecurity/trivy-actionに存在する77個のバージョンタグのうち76個を悪意あるコミットに強制プッシュaquasecurity/setup-trivyの全7タグも同様に差し替え- 悪意あるTrivyバイナリ v0.69.4 をGitHub Releases、Docker Hub、GHCR等の全配布チャネルに公開
注入されたペイロードは「TeamPCP Cloud Stealer」と自称するもので、CI/CDランナーのRunner.Workerプロセスメモリをダンプし、SSH鍵、クラウド認証情報(AWS/GCP/Azure)、Kubernetesトークン、データベースパスワード等を収集します。収集したデータは暗号化された上で外部サーバーへ送信される仕組みと解析されています。
特に重要なのは、正規のTrivyスキャン機能がそのまま動作し続けたことです。パイプラインの実行結果は正常に見えるため、侵害の発見が極めて困難な構造でした。
Phase 2:被害の拡大(3月19〜24日)
Aqua Securityは悪意あるTrivy Actionを約12時間後に修正しましたが、攻撃はそこで終わりませんでした。3月22日、TeamPCPは別途窃取していたDocker Hub認証情報を使い、v0.69.5、v0.69.6、latestタグの悪意あるDockerイメージを再度公開しています。GitHub側の修正を完全にバイパスする手法です。
さらに攻撃は別のプロジェクトにも波及し、Checkmarx(KICS および AST GitHub Actions)、LiteLLM(PyPIパッケージ)にも同系統のペイロードを用いた攻撃が各社の調査で報告されています。Arctic Wolfの報告では、少なくとも1,000のエンタープライズSaaS環境が影響を受けた可能性があるとされています。
つまり、単一のツール侵害というより、認証情報窃取を起点とした横展開型キャンペーンとして捉える方が、実態に近いと考えられます。
Phase 3:Cisco開発環境への侵入報道
ここからは、報道ベースの情報が中心になります。
BleepingComputerは3月31日、匿名情報源に基づき、CiscoがTrivy侵害に起因するサイバー攻撃を受けたと報じました。報道の骨子は以下のとおりです。
- CiscoのCI/CDパイプラインがTrivyを利用しており、侵害済みのGitHub Actionを通じて認証情報が窃取された
- 攻撃者はその認証情報でCiscoの社内ビルド・開発環境に侵入し、数十台のデバイスに影響が及んだ可能性があると報じられている
- 300以上のGitHubリポジトリがクローンされ、AI Assistant、AI Defenseなどの製品ソースコードが含まれていた可能性が報じられている
- 複数のAWSキーが窃取され、少数のCisco AWSアカウントで不正活動が確認された可能性があると報じられている
- 報道では、窃取リポジトリの一部に銀行や米国政府機関などの法人顧客に関連するものが含まれていた可能性も指摘されている
CiscoのUnified Intelligence Center、CSIRT、EOCチームが封じ込めにあたり、侵害システムの隔離とマシンのワイプ・再インストール、全社的な認証情報リセットを実施したと報じられています。
ただし、Ciscoは本記事執筆時点(2026年4月2日)で公式声明を出していません。 上記はいずれもBleepingComputerの匿名情報源に基づく報道であり、独立した検証が完了しているわけではありません。SOCRadarやCybernewsの調査チームも、現時点では一定の蓋然性はあるものの、独立した確認には至っていないという評価を示しています。
Phase 4:ShinyHuntersの恐喝(3月31日〜)
ここで重要なのは、ShinyHuntersの恐喝がTrivy起点の侵害だけを指しているわけではない可能性が高いことです。ShinyHuntersは以下の3件を「Cisco案件」として束ねて恐喝材料にしています。
- Ciscoが2025年8月に開示したvishing起点のSalesforce関連流出 — Cisco従業員がvishing攻撃を受け、サードパーティCRM(Salesforce)の顧客プロファイル情報が流出した件です。Google/Mandiantは関連キャンペーンの一部をUNC6040として追跡しています
- Salesforce Aura(Experience Cloud) — 2026年3月、ゲストユーザー設定の不備を悪用するキャンペーン。ShinyHuntersはAuraInspectorツールを用いて300〜400社を侵害したと主張していますが、この件数自体は独立に確認されたものではありません。SalesforceとMandiantは、Experience Cloudの設定不備を狙う関連キャンペーンについて注意喚起や調査結果を公表しています
- AWSアカウント — Trivy経由の開発環境侵害から派生したとされるアクセス
つまり、過去1年にわたる複数の別経路・別時期の事案が1つの「Cisco案件」として束ねられている構図です。証拠として提示されているのはAWS EC2ボリュームとS3バケットリストのスクリーンショットのみで、データ自体はまだ公開されていません。
TeamPCPとShinyHuntersは何者か
TeamPCP は2025年後半に出現した新興の金銭目的グループで、サプライチェーン攻撃に特化しています。Trivy、Checkmarx、LiteLLMへの一連の攻撃を実行した技術実行部隊として各社のリサーチで言及されており、各社の調査では近接する活動クラスターとして複数の呼称で追跡されている例もあります。
ShinyHunters は2019年から活動する著名な恐喝グループです。Google/MandiantはSalesforce関連キャンペーンの一部をUNC6040/UNC6240として追跡しており、報道や調査の中にはShinyHuntersとの重なりを指摘するものもあります。過去にも著名企業を対象としたデータ侵害・恐喝事案との関連が報道や脅威インテリジェンスで指摘されており、主な手口はSalesforce環境を標的としたvishingとOAuthトークンの悪用です。
両者の直接的な組織関係は不明です。ただし、認証情報窃取を主軸とする活動と、窃取データの恐喝・販売を主軸とする活動が時間的・対象的に接続して見えるため、少なくとも攻撃エコシステムとしては補完的に機能している可能性があります。
日本企業が優先的に確認すべきポイント
1. GitHub Actionsのタグ指定をコミットSHAに切り替える
今回の攻撃の核心は、可変なバージョンタグ参照を信頼する運用が悪用されたことです。タグは強制プッシュで任意のコミットに差し替え可能ですが、コミットSHAは不変です。
CI/CDパイプラインでサードパーティのGitHub Actionsを使用している場合、uses: actions/checkout@v4 のようなタグ指定ではなく、uses: actions/checkout@<フルSHA> の形式に変更してください。2025年のtj-actions/changed-files攻撃でも同じ手法が使われており、現在では優先度の高い基本対策と考えるべきです。
2. CI/CDで露出したシークレットの棚卸しと再発行
本件の中核は認証情報の窃取です。であれば、侵害の有無を問わず、直近のCI/CD環境で露出した可能性のあるシークレットを棚卸しし、予防的にローテーションすることは、優先度の高い実務対策のひとつです。
確認すべきポイントは以下のとおりです。
- 直近数週間でCI/CDランナーに露出したシークレットの一覧化
- クラウドキー、PAT、SSH鍵、OAuthトークンの失効・再発行
- 不要な長寿命資格情報の削減
- 権限過大なサービスアカウントの見直し
侵害されていない前提に依存するより、露出した可能性を前提にローテーションする方が安全です。
3. CI/CDランナーを監視対象に含める
今回の攻撃では、静的分析や依存関係スキャンだけでは検知できませんでした。信頼済みのActionに悪意あるコードが直接注入されていたためです。Sysdigの報告では、有効だったのはランタイム監視、つまりCIランナー上のプロセス挙動や想定外の外部通信を検知する手法でした。
CI/CDランナーはパイプラインシークレットへのアクセス権を持つ高権限環境です。CI/CDランナーがゼロトラストの設計や監視の射程から外れやすい環境では、それ自体がリスクになります。
4. Salesforce Experience Cloudのゲスト権限監査
今回の恐喝文脈では、Trivy起点の侵害とは別に、Salesforce Experience Cloudの設定不備も重要な攻撃面として浮上しています。ShinyHuntersのAuraインスペクター攻撃は、ゲストユーザープロファイルに過剰な権限が付与されたSalesforce環境を自動スキャンして侵害する手法です。Salesforce自身がTrust Siteで注意喚起を出しています。Experience Cloudを利用している場合は、以下を確認してください。
- ゲストユーザープロファイルのオブジェクト権限を最小限に制限
- 外部ユーザー向けの組織全体デフォルトをPrivateに設定
- Secure guest user record accessの有効化
- OAuth接続アプリの棚卸しと不要なトークンの失効
5. Cisco製品利用企業はアドバイザリを注視
もし広範なソースコード流出が事実であれば、今後Cisco製品や関連コンポーネントに対する脆弱性探索が活発化する可能性があります。Cisco製品を利用している企業は、今後のセキュリティアドバイザリを注視し、重要パッチの適用優先度を見直す必要があります。
まとめ
この事案から見えてくるのは、「セキュリティツールだから安全」という暗黙の信頼が、そのまま攻撃面になり得るという点です。Trivyは脆弱性を検出するためのツールですが、CI/CDパイプライン内で高権限で動作するからこそ、侵害された場合の被害も大きくなります。
現時点では、Cisco関連の被害全容にはなお不明点が多く残っています。公式確認が出ていない部分、匿名情報源に依拠する報道、攻撃者自身の主張が混在しているためです。だからこそ、個別事案として消費するのではなく、次の3点に引き直して確認することが重要です。
- 自社のCI/CDは、外部Actionをどこまで信頼しているか
- 侵害が起きたとき、シークレットをどれだけ速く無効化・再発行できるか
- Salesforceや開発基盤を含む管理プレーンを、本当に監視対象にできているか
サプライチェーン攻撃は、依存先が増えるほど避けにくくなります。必要なのは、無条件に信頼することではなく、侵害を前提にした設計と運用です。
主要な情報ソース
| 区分 | ソース |
|---|---|
| ベンダー調査報告 | Wiz Blog、Palo Alto Networks、Sysdig、Microsoft Security Blog、Kaspersky、Arctic Wolf |
| セキュリティメディア報道 | BleepingComputer、Cybernews、SOCRadar、Help Net Security |
| 企業・サービス公式 | Salesforce Trust Site、Aqua Security |
| 脅威インテリジェンス | Resecurity、Google/Mandiant(UNC6040/UNC6240) |
注記: Ciscoは本記事執筆時点(2026年4月2日)で本件に関する公式声明を発表していません。ShinyHuntersが主張するデータは未公開であり、窃取の全範囲は独立に検証されていません。Cisco開発環境への侵入経路と被害範囲は、主としてBleepingComputerの匿名情報源に基づく報道に依拠しています。
