オープンソースを武器に変えるハッカー集団の正体

あなたの会社のセキュリティツールが、すでに攻撃者の手に渡っているとしたら？

「守るためのツール」が凶器になった日

2026年3月、セキュリティ業界に衝撃が走りました。広く使われている脆弱性スキャナー「Trivy」が、サプライチェーン攻撃の標的となったのです。攻撃者はTrivyの開発元であるAqua SecurityのGitHubアカウントへの特権アクセスを奪取し、ほぼすべてのバージョンに悪意あるコードを埋め込みました。Trivyはコンテナやコードの「安全を確認するためのツール」として、世界中の開発者・企業が日常的に使用しています。つまり、セキュリティを高めようとした行為そのものが、侵害の入口になったのです。

この攻撃を仕掛けたのは、「TeamPCP」と呼ばれる新興ハッカー集団です。セキュリティ企業Flareの研究者が最初にその存在を確認したのは2025年12月のこと。当初は、適切に保護されていないクラウドプラットフォームを標的にしたワームを展開し、分散型プロキシ・スキャンインフラの構築を試みていました。その目的は多岐にわたります。データの窃取、ランサムウェアの展開、恐喝、そして暗号資産のマイニング——いわば「デジタルの傭兵部隊」としての活動です。

謎のワイパー：なぜイランだけが標的なのか

TeamPCPの活動で特に注目すべき点があります。彼らのマルウェアには、イラン国内のマシンのみを標的にするデータワイパーが含まれているのです。ワイパーとはデータを完全に消去するマルウェアであり、金銭目的の攻撃とは性質が異なります。

この事実は、単純な犯罪集団という解釈を複雑にします。国家の支援を受けているのか、それとも特定の地政学的意図を持つアクターなのか——現時点では答えが出ていません。過去にはStuxnet（イランの核施設を標的にしたとされるマルウェア）のように、国家レベルの関与が疑われるサイバー攻撃がイランを標的にした例もあります。TeamPCPがその系譜にあるのか、あるいはまったく異なる動機を持つのか、調査は続いています。

広告

広告掲載について

[email protected]

広告

日本企業への影響：対岸の火事ではない理由

Trivyは、ソニー、NTT、富士通をはじめとする日本の大手IT企業や金融機関でも広く採用されています。コンテナセキュリティのデファクトスタンダードとして、DevOpsパイプラインに深く組み込まれているケースも少なくありません。

サプライチェーン攻撃の恐ろしさは、「信頼していたもの」が凶器になる点にあります。ファイアウォールやウイルス対策ソフトは、正規の署名を持つツールの更新を「安全」と判断します。日本企業の多くは、ベンダーへの信頼を前提としたセキュリティ体制を構築しており、こうした攻撃への対応が遅れる傾向があります。また、日本のサイバーセキュリティ人材不足（2024年時点で約11万人の不足が指摘されています）も、迅速な対応を困難にする構造的要因です。

TeamPCPが示すもう一つの特徴は、大規模な自動化と既知の攻撃手法の巧みな組み合わせです。これは高度な独自技術を必要とせず、既存のツールを組み合わせることで大規模攻撃を実現できることを意味します。防御側にとっては、「既知の脅威だから大丈夫」という安心感が最大の弱点になりかねません。

より大きな問いへ：オープンソースの信頼は誰が守るのか

この事件は、オープンソースソフトウェアのエコシステム全体が抱える構造的な脆弱性を浮き彫りにしています。Log4Shell（2021年）、XZ Utilsバックドア（2024年）、そして今回のTrivy——オープンソースを標的にしたサプライチェーン攻撃は、頻度と巧妙さを増しています。

オープンソースの強みは「透明性」と「コミュニティによる監視」ですが、その前提は「誰かが見ている」という信頼に依存しています。しかし現実には、多くの重要なオープンソースプロジェクトは少数のボランティアによって維持されており、GitHubアカウントの乗っ取りという比較的シンプルな手法で、世界中のインフラに影響を与えることが可能なのです。