ハッカーグループTeamPCPが、フランスのAI企業Mistral AIから盗み出したとされる内部ソースコードリポジトリ約450件(約5GB)を2万5千ドルで売り出し、買い手が見つからなければ1週間以内に無料で公開すると脅迫している。Mistral AIは侵害の事実を認めたが、コアリポジトリや顧客データへの影響はないとしている。

事件の背景:TanStackサプライチェーン攻撃の連鎖

今回の事件は「Mini Shai-Hulud」と呼ばれるソフトウェアサプライチェーン攻撃に端を発する。攻撃者はCI/CDクレデンシャル(認証情報)を窃取し、正規のワークフローを悪用してTanStackおよびMistral AIの公式npmパッケージを汚染することに成功した。

この汚染はnpmおよびPyPIのパッケージレジストリを通じて広がり、RPA大手のUiPath、AIガードレールツールのGuardrails AI、検索エンジンOSSのOpenSearchを含む数百のソフトウェアプロジェクトへと被害が連鎖した。一点を突破してサプライチェーン全体を汚染するという、典型的な攻撃パターンだ。

TeamPCPの主張とMistral AIの公式見解

TeamPCPはハッカーフォーラムへの投稿で、盗んだデータにはMistralがモデルのトレーニング・ファインチューニング・ベンチマーク・モデル配信・推論実験に使用する内部リポジトリが含まれると主張。「1週間以内に買い手が見つからなければ全データを無償公開する」と述べており、価格交渉にも応じるとしている。

Mistral AIはBleepingComputerの取材に対し、「開発者の端末がTanStackサプライチェーン攻撃の影響を受けた後に侵害が発生した」と認めた。一方でフォレンジック調査の結果、「被害を受けたデータはコアコードリポジトリには含まれていなかった」と説明。「ホステッドサービス、管理ユーザーデータ、研究・テスト環境はいずれも侵害されていない」とした。

OpenAIにも同じ攻撃が波及

同じTanStackサプライチェーン攻撃の影響は、OpenAIにも及んでいることが確認された。OpenAIは「2名の従業員の端末が影響を受け、内部ソースコードリポジトリの一部へのアクセス権を持つ限定的なクレデンシャルが盗まれた」と公式に認めた。

ただし、盗まれたクレデンシャルが追加攻撃に使用された証拠は見つかっていないとしており、対策としてコード署名証明書のローテーションを実施済みだ。macOSユーザーに対しては6月12日までにOpenAIデスクトップアプリを更新するよう警告している。更新しない場合、アプリが起動しなくなる可能性があるという。

実務への影響:エンジニア・IT管理者が今すぐ取るべき行動

CI/CDクレデンシャルの棚卸しを今すぐ行う

今回の攻撃はCI/CDパイプラインのクレデンシャル管理の甘さを突いた。GitHubやGitLab等のCI/CDシステムで使用しているシークレット・トークンを棚卸しし、長期間有効なクレデンシャルが放置されていないか確認すること。期限のないシークレットは今すぐローテーションの対象にすべきだ。

依存パッケージの完全性検証を導入する

今回汚染されたのはTanStackという広く使われているパッケージだ。自社プロジェクトで利用しているnpm・PyPIパッケージの依存関係を固定し、SBOM(ソフトウェア部品表)の導入やパッケージのハッシュ検証を検討したい。「信頼できるパッケージ」への依存が攻撃の入口になるのが現代のサプライチェーン攻撃の特徴だ。

Non-Human Identity(NHI)の管理体制を見直す

CI/CDシステムやデプロイパイプラインで使用されるサービスアカウント、APIキー、デプロイトークンなどのNHI(非人間アイデンティティ)は今回の攻撃で悪用された標的だ。最小権限の原則と定期ローテーションの徹底が求められる。

筆者の見解

セキュリティ分野は個人的に「好んで深追いするジャンル」ではないのだが、今回の事件には技術的な興味を引く構造がある。

CI/CDパイプラインを攻撃の入口として使う手口は以前から指摘されてきたが、Mistral AIやOpenAIのような技術的に高度な組織ですら被害を受けるという事実は重い。「自分たちは大丈夫」という自信がいかに根拠なきものかを示している。

長年言い続けているが、「常時アクセス権の付与は特権アカウント管理における最大のリスク」だ。これはサービスアカウントやCI/CDクレデンシャルについても例外ではない。開発効率を優先してクレデンシャルを長期間有効にしたまま放置するケースが多いが、それが今回のような被害につながる。Just-In-Time(JIT)アクセスの考え方はCI/CDにも適用できるはずで、ここへの投資は決して無駄にはならない。

NHIの管理が業務自動化のボトルネック解消に直結するという持論は変わらないが、裏を返せばNHIの管理が甘ければ自動化を進めるほどリスクも拡大する。今回の攻撃はその構造を如実に示した。

Mistral AIとOpenAIの対応スピードと情報開示の透明性は一定の評価に値する。被害範囲を即座に特定し、公式見解を明確に出したことで、ユーザーが自分で判断する材料が提供された。インシデント対応の「お手本」とまでは言わないが、少なくとも「沈黙で乗り切ろうとする」最悪のパターンは踏んでいない。

サプライチェーン攻撃は一社だけが完璧に対策しても完全には防ぎきれない。今回OpenAIまで同じ攻撃の波を受けたように、信頼しているパッケージが汚染される可能性は誰にでもある。依存するパッケージ管理の体制を見直すきっかけとしてほしい。

出典: この記事は TeamPCP hackers advertise Mistral AI code repos for sale の内容をもとに、筆者の見解を加えて独自に執筆したものです。