Trivy連鎖攻撃がCiscoを直撃——AIプロダクトのソースコードが流出
米Ciscoがサイバー攻撃の被害を受け、内部の開発環境が侵害されたことをBleepingComputerが報じた。攻撃者は2026年3月に発覚したTrivyサプライチェーン攻撃で盗んだ認証情報を転用し、Ciscoのビルド・開発環境への侵入を果たした。
何が起きたのか
Ciscoの「Unified Intelligence Center」「CSIRT」「EOC」各チームが侵害を封じ込めたものの、攻撃者はその前に以下を実行したとされる。
- 300以上のGitHubリポジトリを複製(AI Assistant、AI Defense、未発表プロダクトのソースコードを含む)
- 複数のAWSキーを窃取し、一部のCisco AWSアカウントで不正操作を実施
- 数十台のデバイス(開発者ワークステーション・ラボ端末)のデータを取得
さらに、複製されたリポジトリの一部には銀行、BPO(業務プロセスアウトソーシング)、米政府機関など顧客のソースコードが含まれている可能性があるという。
Trivyサプライチェーン攻撃とは
Trivyはコンテナイメージや構成ファイルの脆弱性を検出するOSSスキャナーで、開発現場での採用が広い。今月初め、脅威アクターがTrivyのGitHubパイプラインを侵害し、公式リリースおよびGitHub Actionsを通じて認証情報窃取型マルウェアを配布した。
Ciscoはこの不正なGitHub Actionプラグインを踏んでしまい、CI/CD環境の認証情報が流出したとみられる。
背後に「TeamPCP」グループ
セキュリティ研究者は今回の一連の攻撃を、TeamPCPと呼ばれる脅威グループに帰属している。同グループは独自のインフォスティーラー「TeamPCP Cloud Stealer」を用いており、GitHub・PyPI・npm・Dockerを標的にしたサプライチェーン攻撃を繰り返している。
Cisco侵害と並行して、LiteLLM(PyPIパッケージ)およびCheckmarx KICSプロジェクトも同じマルウェアで侵害されており、合計で数万台規模のデバイスに影響が及んでいる。
Ciscoの対応
Ciscoは影響を受けたシステムを隔離し、再イメージングを開始。大規模な認証情報のローテーションを実施中だという。ただし、BleepingComputerの取材に対してCiscoからの公式回答はまだ得られていない。
日本のエンジニアへの示唆
Trivyは国内でも広くCI/CDパイプラインに組み込まれているツールだ。今回の攻撃はOSSツールのGitHub Actionsやパイプラインが攻撃経路になり得ることを改めて示した。
- 利用中のGitHub Actionsのバージョンとハッシュを固定しているか確認する
- CI/CD環境で使う認証情報(AWS、GitHub Token等)のスコープを最小権限に絞る
- 依存パッケージの更新時にはリリースノートと変更差分を必ずチェックする
サプライチェーン攻撃は「信頼しているツール」を踏み台にする点で被害が広域に及ぶ。OSS利用時のセキュリティ検証プロセスを今一度見直すべき時期だ。
元記事: Cisco source code stolen in Trivy-linked dev environment breach