ハクソク

世界を動かす技術を、日本語で。

マイクロソフトのオープンソースツールがハッキングされ、AI開発者のパスワードが盗まれる

4時間前原文(techcrunch.com)

概要

  • Microsoft のGitHub上の複数オープンソースプロジェクトが ハッキング被害 を受け、一時的にアクセス遮断
  • Azure やAI開発ツール関連プロジェクトで パスワード窃取マルウェア が混入
  • CloudsmithOpenSourceMalware が被害を初期発見
  • 一部リポジトリは 復旧済み、他は調査続行中
  • サプライチェーン攻撃 の最新事例として注目

MicrosoftのGitHubプロジェクトがハッキング被害

  • Microsoft のオープンソースプロジェクトが GitHub 上で不正アクセス被害
  • ハッカーが パスワード窃取型マルウェア をプロジェクトコードに混入
  • 影響を受けたのは主に Azure やAI開発関連ツール
    • 例:Claude Code、Gemini CLI、VS Codeなど
  • CloudsmithOpenSourceMalware が最初に異常を発見
  • マルウェアにより、利用者の パスワードや機密情報 が窃取される恐れ
  • 影響を受けたツールの ダウンロード数は不明

Microsoftの対応と現状

  • Microsoft は問題発覚後、該当リポジトリを 一時的に非公開
  • 一部リポジトリは 審査後に復旧、他は調査継続中
  • 影響を受けた可能性のある 顧客には個別に通知
  • 必要に応じて 追加対応 を実施予定
  • 70以上のプロジェクトが「 GitHub利用規約違反」で 無効化 表示

サプライチェーン攻撃の背景とリスク

  • オープンソースプロジェクトへの サプライチェーン攻撃 が増加傾向
    • 多数のユーザーや企業が利用するため、攻撃のリターンが大きい
  • 単独開発者 が標的になる例は多いが、 Microsoft のような大手企業が被害を受けるのは稀
  • 今回は、 Durable Task プロジェクトの「再侵害(re-compromise)」とも指摘
  • 一度の対応で 完全駆除できなかった可能性 や、 新たな侵害 の可能性

今後の対応と注意点

  • Microsoftは 継続的な調査被害者への通知 を約束
  • サプライチェーン攻撃への 対策強化の必要性
  • オープンソース利用者は 最新情報の確認セキュリティ対策 が重要

参考・連絡先

  • 本件の詳細は TechCrunchZack Whittaker が報告
  • 追加情報や問い合わせは Signal (zackwhittaker.1337)や メール (zack.whittaker@techcrunch.com)経由で可能

Hackerたちの意見

これらは関連しているみたいだね: * https://news.ycombinator.com/item?id=48418318 (Microsoftに蔓延するブライト:105秒で73のリポジトリが無効に) * https://news.ycombinator.com/item?id=48450543 (ミアズマワームが再びMicrosoftを襲う:AIコーディングエージェントを狙ったサプライチェーン攻撃後、Azure Functionsアクションと他72のリポジトリが無効に) * https://news.ycombinator.com/item?id=48416155 * https://news.ycombinator.com/item?id=48416269 (ミアズマワームがGitHubリポジトリを通じてAIコーディングエージェントを狙う)

こんな人たちに、私たちのセキュアブートのルートCA証明書を任せて大丈夫なの?

「信頼する」よりも「受け入れざるを得ない」って感じだね。この最新の出来事は、マイクロソフトがセキュリティの問題を抱えているっていう実績を続けてるだけだよ。 :(

2023年のセキュリティレビューに失敗した会社のこと? [0] > 上記の失敗のいずれかは、個別に見れば理解できるかもしれない。しかし、全体として見ると、マイクロソフトの組織的な管理とガバナンス、そしてセキュリティに関する企業文化の失敗を示している。マイクロソフトの製品とサービスはどこにでもある。世界で最も重要なテクノロジー企業の一つ、いや、最も重要かもしれない。この地位には、最大かつグローバルな責任が伴う。CEOから始まる、責任を重視したセキュリティ文化が必要で、財務やその他の市場投入要因がサイバーセキュリティや顧客の保護を損なわないようにしなければならない。 > 残念ながら、このレビューを通じて、取締役会は、企業文化が企業のセキュリティ投資や厳格なリスク管理を優先しなかったことを示す一連の運営上および戦略的な決定を特定した。これらの決定は、世界中のマイクロソフト顧客にとって大きなコストと損害をもたらした。 > 取締役会は、マイクロソフトがセキュリティ文化に取り組むべきだと確信している。[0] https://www.cisa.gov/resources-tools/resources/CSRB-Review-S...

誰もマイクロソフトにセキュリティに関して何かを信頼するほど愚かではないべきだ。彼らは過去40年間、何度も何度も自分たちが気にしていないことを示してきた。

「私たち」ってどういう意味? :-)

セキュアブートの信頼の根源は、通常はOEM証明書であって、マイクロソフトのものじゃないから、これも悪化してるかもね: https://www.binarly.io/blog/pkfail-untrusted-platform-keys-u... いずれにせよ、マイクロソフトの証明書を削除して、自分のものを登録することは自由だよ。

みんな、Microsoftがミトスアクセスを持ってることを忘れないでね。

これから言うことは完全に推測だけど、私の観察や考えに基づいてる。昔のRBACモデルはほぼ壊れてたけど、今は完全に壊れちゃったと思う。コーディングアシスタントやエンジニアが無関係なプロジェクトを同時にいくつも進めてるし、特に以前は時間がなかったような大胆な実験に取り組んでる。企業におけるサプライチェーンのリスクは劇的に増加してる。関連性があるとは言わないけど、影響があると思う。今では多くの場所で、コーダーやマネージャーが自分のデバイスで自由に作業することが奨励されてる。遅かれ早かれ、特に何をしているのかわからない人たちにとって問題になるだろうね。関連性があるとは言わないけど、ピッタリ合ってる気がする。最近のサプライチェーンの問題には、何か根本的な糸が通ってるとは信じられない。もちろん、こういうことを専門にするハッキンググループもいるけど、報酬が豊富だからだよね。

プロジェクト数に対して労働者が少なすぎるって何年も主張してたんだけど、管理側はほとんどのプロジェクトがアイドル状態だから、労働者一人あたりそんなに多くても大丈夫だって言ってた。まあ、そういうことだね。

バニラで依存関係なしに vibe-code することもできるよ。

RBAC(役割ベースのアクセス制御)を別の何かに置き換えるべきだということ?それとも、使われている特定のRBACモデルが壊れているということ?個人的には、ちょっとややこしい名前の能力ベースのセキュリティモデルが未来の道だと思ってる。

今、多くの場所でコーダーやマネージャーが自分のデバイスでいじることを推奨してるよね。いつか問題になると思う、特に何も分からない人たちにとっては。バカは痛い目を見るべきだ。

ちょっと補足すると、あなたが言ってたわけじゃないけど、これはAIやバイブコーディング、マネージャーコードとは全く関係ない話なんだ。これはシャイ・ハルードのワームと、開発者の依存関係インストール周りのセキュリティの欠如の続きで、これがずっと前から存在してるんだよ。ハッカーたちは、開発者自身が理想的なターゲットだって気づいてる。なぜなら、彼らを騙して何かをインストールさせるのが簡単で、彼らのマシンにはプライベートな情報(クレデンシャル、クラウドCLI、MCPなど)がたくさんあるから。

セキュリティチームができる最善のアドバイスは - SBOMを厳格に保つこと、ミニマムリリース年齢ポリシーを使うこと(バンドエイドみたいだけど)。怖い世界だよね。

友達が全然違う解決策を持ってるんだ。彼は全部手作業でコーディングしてる。新しいパッケージを調べるのにかかる時間を、実際に必要な部分のコーディングに使えるって言ってたし、トランジティブ依存関係の問題も全然ないみたい。

SBOMを厳格に保て。ニュースを見た感じ、マイクロソフトをそこに含めない方が良さそうだね。

タイトルの言い回しは偏ってるし、内容はオープンソースのせいにしてる。で、最も面白いと思うのは、サプライチェーン攻撃を試みたことをMicroSlopのせいにしてること。> TechCrunchに聞かれたとき、Microsoftは影響を受けた顧客の具体的な数をすぐには提供しなかった。そう、オープンソースはこんな風に機能するんだよね。TechCrunchは頑張ってるけど、それを説明しないのはどうかと思う。> Ars Technicaによると、これは過去数週間でMicrosoftがオープンソースプロジェクトを危険にさらした2回目の既知の侵害だ。私も他の多くの人と同じように、できるだけMicroSlopを叩くのが好きだけど、この場合は彼らは正しいことをした。記事は彼らが全て間違っていたかのように表現してるし、全員が悪いみたいに書いてる。侵害を制限したことに対して恥じるべきだって。ザック・ウィタカーの記事で、私が不快に感じたのはこれが初めてじゃない。> AI開発者のパスワードを盗む。この言い回しには独自の含意があるよね。AI開発者とAIを使う開発者の違い?> これは最近数ヶ月の間に、ハッカーが広く人気のあるオープンソースプロジェクトに侵入し、多くのユーザーがコンピュータにインストールしたコードにマルウェアを植え付けることを目的とした最新の例だ。これらのハックは「サプライチェーン」攻撃として知られていて、しばしば多くのソフトウェア製品や特定のユーザーに使われるコードを狙う。クラウドシステムや大量の顧客データにアクセスできることが多いから、ハッキングするのが有利なんだよね。サプライチェーン攻撃が何であるかをまったく説明していないし、その結果や攻撃面の理由だけを述べてる。私の意見では、非常に悪い報道だと思う。悪い侵害で、M$が安全で正しいことをしたのは認めたくないけど、この「報道」はもっと改善の余地がある。

じゃあ、あなたのポストモーテムは?何が起こったのか、どう読むべきなのか?

TechCrunchはほんとに雑で信頼できない。自分が関わったことについて、SEO目的で事実をでっち上げて報道してるのを見たことがあるけど、訂正させる方法なんてないよ。

最近の数週間で、マイクロソフトがオープンソースプロジェクトにハッカーが侵入することを許したのは、これが2回目の知られた侵害だそうだ。アーステクニカによると。 私も他の多くの人と同じように、マイクロソフトを叩くのは好きだけど、今回は彼らが正しいことをしたと思う。あなたがこの文に何を問題視しているのか全く分からない。彼らには組織的なセキュリティの問題があって、GitHub Actionsの効果的なロックダウンを怠ったり、MRがCI/CDを回避できるようにしてしまった。これはマイクロソフトの問題で、AI以前から存在していたことは議論の余地がない。詳細は https://www.cisa.gov/sites/default/files/2025-03/CSRBReviewO... を見てみて。AIの時代に入って、これは今や蔓延していて、武器化されている。

これは古典的なパーソナルアクセストークンが不適切に使われているケースだと強く疑ってる。もし変なオープンクロー装置にAIエージェントにトークンを渡すつもりなら、もっと細かいバリエーションを使うべきだよ。私のGitHubアカウントは3つの組織にまたがっていて、それぞれのポリシーが全然違う。古典的なトークンがまだ許可されてるなんて、ちょっと驚きだよ。最低でも各組織に手動でオプトインする必要があるべきだね。

あなたの言う通りだけど、問題は細かいトークンでの権限管理が悪夢だってこと。何が正しいのか、何が必要なのかを決めるのは簡単じゃない。さらに、しばしばソフトウェア開発者は、権限よりもコードに集中することが重要だと思ってるから、他の誰かの責任だと考えてしまうんだよね。

公開リポジトリをスクレイピングするために、低権限のアカウントでクラシックトークンを使ってるよ。組織レベルの権限で十分だと思う。

AIエージェントは独自のセキュリティプリンシパルであるべきだと思うし、アクセスが必要なリポジトリや組織に特化して生成されたアクセストークンを使うべきだよね。人間のアカウント用に「ミント」されたアクセストークンをAIエージェントに渡すのは、まるで新しい「パスワードを付箋に書く」みたいなもんだと思う。

AI開発者のパスワードを盗む これってどういう意味?マルウェアは特にAIを使う開発者のパスワードを盗むの?AIツールを開発してる人から?それとも、人間のパスワードと同じように機能するAPIトークンを盗むの?これが今のジャーナリズムの姿なの?タイトルに二つの神聖な文字を貼り付けたら、ビューが増えるってこと?(記事は読んだよ。でも、タイトルが意味不明だとは思う。こんなテックチャーチのゴミはスキップして、こっちの本当の情報を読んでね:https://opensourcemalware.com/blog/miasma-reaches-azure)

https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-... には、.claude/settings.json.gemini/settings.json.cursor/rules/setup.mdc.vscode/tasks.jsonを植え付けて、ペイロードをセットアップタスクとして実行するって書いてある。VSCodeはAIを使わない開発者にもたくさん使われるし、資格情報を収集するツールはAI APIトークンに特化してるわけじゃないけど、ターゲットの3/4がAIコーディングツールっていうのが、そういう主張の根拠だと思う。

テッククランチが2005年にウェブサイトの四角いバナーに月1万ドルを請求していたのを覚えてる?それがテックブログとしては最高だと考えられていた時代だよね。それでも彼らはクソみたいな記事を投稿してた。

余計なことは省いて、ここで本当の情報を読めるよ: (明らかにAIが書いたリンク)

誰も自分のマシンで「npm install」や「pip install」をすべきじゃない。適切なサンドボックス(https://github.com/ashishb/amazing-sandbox)を定期的に使うことで、これらの攻撃の影響範囲を大幅に制限できるよ。

誰も自分のマシンで「npm install」や「pip install」をすべきじゃない。 じゃあ、どんな代替案を提案するの?サンドボックスの外ではインストールしないってこと?

https://github.com/ashishb/amazing-sandbox あなたのDockerバックエンドは、ルートレスコンテナでコマンドを実行しますか?コードをざっと見たけど、これを確認するものは見当たらなかった。

ここにも検出コンポーネントはあるの?サンドボックス開発は素晴らしいけど、次のステップは本番環境にデプロイすることだよね。サンドボックス内で悪意のあることが起こったかどうか、どうやって確認するの?マルウェアをさらにデプロイしないためには。

誰か、どうしてこんなに多くのリポジトリに難読化されたファイルを追加できるのか説明してくれない?コードレビューとかないのかな?それに、タイトルも誤解を招くよ。セットアップはリポジトリで作業する人たちが自動実行するための設定を追加するだけだし。彼らはvscodeやcursor、claude、geminiを使わなきゃいけない。codexやopencode、他のハーネスを使ってる人たちは安全だと思うけど。詳細はここにあるよ: https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-...

リポジトリにプッシュする権限を持つアカウントが乗っ取られたら、PRレビューはないだろうね。

コードレビューとかないのかな? 友達が大手企業で働いてるんだけど(どこの企業かは言えないけど、S&P 500に入ってるところ)。彼はかなり長いことそこで働いてるけど、今まで自分が関わってるプロジェクトがどうなってるか見たことがないらしい。リポジトリはクローンして、使われてる言語は知ってるけど、それ以上のことは何も知らないんだって。全てが雑にまとめられてる。彼のプロジェクトは、会社の全製品の認証と認可システムなんだけど、彼の言葉を借りると「一日中Tabを押して、レビューには『これは意図されたものです』って書いてるけど、全部AIで、人間は関与してない。CEOやCTOからそうするように言われてるんだ。何かが壊れたら、実際のコードを見たことがないから、誰もこれがどう動いてるか知らない。私たちのパフォーマンスレビューは、使ったトークンの数に基づいていて、何をしたかじゃないんだ。」今の多くの企業でこういう状況だと思うから、実際のコードレビューがないって考えるのも不思議じゃないよね。