00:00
-00:00
#20260326 【緊急】Trivyサプライチェーン攻撃
14
■ 今日のハイライト
本日は、インフラ基盤や開発プロセスに甚大な影響を及ぼす重大なセキュリティニュースをお届けします。コンテナセキュリティの定番ツールでのサプライチェーン攻撃、AI開発用ライブラリへのマルウェア混入、そして広く使われているメッセージング基盤の深刻な脆弱性について解説します。
▼ Trivyエコシステムに対するサプライチェーン攻撃(CVE-2026-33634)
コンテナの脆弱性スキャナーとして広く普及している「Trivy」のGitHub Actionsエコシステムが侵害される事件が発生しました。
・概要:悪意のあるアクターが漏洩した認証情報を使用し、悪意のあるTrivyのリリースを公開。さらに、GitHub Actionsのタグを強制プッシュし、認証情報を窃取するマルウェアに置き換えました。
・影響:CI/CDパイプラインで該当のアクションを実行した環境から、クラウドアカウントのシークレット等が流出した可能性があります。該当時期の利用者は認証情報の即時ローテーションが必要です。
▼ LiteLLMパッケージへの認証情報窃取マルウェア混入
・概要:Pythonの生成AI用API統合ライブラリ「litellm」のPyPI公式レジストリに、マルウェアを含むバージョンがアップロードされました。依存関係の脆弱性を突かれてAPIトークンが露出したことが原因です。
・影響:インストールおよび実行時にマルウェアが起動し、環境内の機密ファイルや認証情報を外部のサーバーへ送信してしまいます。
▼ NATS Server における複数の深刻な脆弱性
高性能なパブサブ分散通信技術「NATS Server」において、多数の脆弱性が一斉に公開されました。
・CVE-2026-33248:mTLSにおけるクライアント証明書のSubject DNのマッチング不備による認証バイパス。
・CVE-2026-33246:leafnode接続を利用したIDヘッダーのスプーフィング(なりすまし)。
・CVE-2026-33222:JetStreamの管理APIを通じた認可チェックのバイパス。
・その他、MQTTクライアントのハイジャックやプレーンテキストパスワードの漏洩など、影響範囲は多岐にわたります。
▼ Scriban における多数のDoS脆弱性
.NET向けのテンプレートエンジン「Scriban」において、CPU資源の枯渇や無制限のメモリ割り当て、スタックオーバーフローを誘発しプロセスをクラッシュさせる複数の脆弱性が発見されました。信頼できないユーザーからのテンプレート入力を許可しているアプリケーションは至急アップデートが必要です。
#セキュリティ #エンジニア #ITニュース #Trivy #脆弱性情報 #サプライチェーン攻撃
Data sources: GitHub Advisory Database (CC-BY 4.0)
3月25日
このチャンネルの新着放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.