2026年3月、JavaScriptの定番ライブラリ「axios」の公式配布経路が攻撃者に悪用され、マルウェアを含む不正バージョンが約39分間にわたって公開される事態が発生しました。短時間の公開ながら、多数の開発環境に影響が及んだ可能性があります。
本記事では、攻撃の概要・仕組みから影響の確認方法、感染時の対処、再発防止策まで順を追って解説します。
axiosのサプライチェーン攻撃とは
axiosは世界中の開発現場で利用されているJavaScriptの定番ライブラリです。2026年3月末、その公式配布経路を悪用したサプライチェーン攻撃が明らかになりました。攻撃の概要と仕組みを以下で解説します。
攻撃の概要と経緯
「axios(アクシオス)」とは、WebサービスやアプリがインターネットでデータをやりとりするためのJavaScriptライブラリです。2026年3月31日、このaxiosを配布しているnpm(Node Package Manager)を通じて、マルウェアを含む不正なバージョンが公開されました。
攻撃者はaxiosの管理者(メンテナー)のアカウントを乗っ取り、正規のソフトウェアに見せかけた悪性バージョン(1.14.1および0.30.4)を公開したと見られています。不正バージョンが公開されていた時間はわずか約39分間でしたが、その間に多数の環境に影響が及んだ可能性があります。
攻撃の仕組み・マルウェアの動作
今回の攻撃は、二段階の仕掛けで成立していました。
攻撃者はあらかじめ「plain-crypto-js」という悪意あるパッケージをnpmに登録しておき、悪性版axiosの依存関係(動作に必要な関連ソフトウェアのリスト)にそのパッケージを追加していました。そのため、開発者がnpm installを実行すると、インストール完了と同時にマルウェアが自動起動する仕組みになっていました。
起動したマルウェアはOSの種類(Windows・macOS・Linux)を自動判別し、それぞれに対応したRAT(遠隔操作型トロイの木馬)を取得・実行します。さらに実行後は自身の痕跡を消去するため、後から調査しても感染に気づきにくい点が特に問題視されています。
トロイの木馬ウイルスについては、以下の記事で詳しく解説しています。あわせてお読みください。
トロイの木馬ウイルスとは?特徴・症状・感染時の対処法をわかりやすく解説
axiosが狙われた原因とは
今回の攻撃の直接的な原因は、axiosの管理者のnpmアカウントが乗っ取られたことにあります。攻撃者は盗んだ認証情報を使って管理者になりすまし、正規の配布経路(npm)からマルウェア入りのaxiosを公開しました。利用者側からは通常の更新と見分けがつかないため、感染に気づくことが非常に困難な状況でした。
また、同時期にTrivyやLiteLLMなど複数のOSSも連続して侵害されており、組織的な攻撃とみられています。Googleのレポートでは、北朝鮮系サイバー攻撃グループ「UNC1069」との関連が指摘されています。
影響範囲および確認について
侵害されたバージョンは2つに限定されていますが、axiosを直接インストールしていない環境でも間接的に影響を受けるケースがあります。影響を受けるバージョンや環境の特徴、および確認方法を以下で紹介します。
影響を受けるバージョン・環境
今回侵害されたのは「axios@1.14.1」および「axios@0.30.4」の2バージョンです。「axios@1.14.0」(1.x系)および「axios@0.30.3」(0.x系)は対象外となっています。
注意が必要なのは、axiosを直接使用していない環境でも影響を受ける可能性がある点です。自社が導入している別のソフトウェアが内部でaxiosに依存していた場合(間接依存)、同様のリスクが生じます。
また、バージョンを固定せず「常に最新版を自動取得する」設定にしていた環境では、気づかないうちに悪性バージョンをインストールしていたケースも報告されています。
影響を受けているか確認する方法
まず、package-lock.jsonやyarn.lock(インストールされたバージョンを記録する管理ファイル)を確認し、axiosのバージョンが「1.14.1」または「0.30.4」になっていないかをチェックしてください。特に、日本時間の2026年3月31日 午前9時21分〜午後12時15分の間にnpm installを実行していた環境は優先的に確認が必要です。あわせて、「plain-crypto-js」というパッケージがインストールされていないかも確認してください。
ただし、マルウェアは実行後に痕跡を消去するため、インストール済みファイルの確認だけでは検知できないケースがあります。ネットワークログ(通信記録)に見慣れない外部サーバーへの接続記録がないかどうかをあわせて確認することを推奨します。
影響があった場合の対処
悪性バージョンをインストールした環境は、「すでに侵害されている」前提で対応することが重要です。
まず、影響を受けた端末をネットワーク(社内LANやインターネット)から即時切り離してください。その後、axiosを安全なバージョンに戻し、インストール済みの不正ファイルを削除して再インストールします。
次に、GitHubトークン・APIキー・クラウドサービス(AWS・GCPなど)の認証情報・データベースのパスワードなど、該当端末に保存されていたすべての認証情報を新しいものに変更(ローテーション)してください。CI/CD環境でaxiosを参照していた場合は、そこで使用しているシークレット(秘密鍵やトークン類)も対象に含めます。
感染が疑われる場合、端末をクリーンな状態から再セットアップする方が確実なケースも報告されています。被害の拡大を防ぐためにも、早期の対処が求められます。
実施すべき対策について
今回の攻撃を踏まえ、同様の被害を防ぐための対策を5つの観点から解説します。入口対策・出口対策・アカウント管理など複数の面から多層的に取り組むことが重要です。
ロックファイルの活用
まず取り組みやすい対策として、ロックファイルの活用が挙げられます。package-lock.jsonなどのロックファイルを必ず使用することで、意図しないバージョンアップを防ぐことができます。
あわせて、npmのmin-release-age設定(クールダウン機能)の活用も有効です。これは新しく公開されたパッケージをすぐにインストールしないようにする設定で、推奨は7日程度とされています。
公開直後の悪性パッケージを自動的に取り込まないようにすることで、セキュリティコミュニティが悪意あるコードを発見・報告するための時間的な余裕を確保できます。
CI/CD環境の設定を見直す
CI/CD環境(ソフトウェアのビルド・テスト・リリースを自動化する仕組み)では、最小権限の原則を徹底し、必要最小限の認証情報のみを設定することが基本です。
あわせてSCAツール(Software Composition Analysis)を導入し、依存パッケージのリスクを継続的に監視することを推奨します。SCAツールとは、使用しているソフトウェアの構成部品を分析し、既知の脆弱性がないかチェックするツールです。
今回のような複数のOSSへの連続攻撃は今後も増加傾向にあると見られており、サプライチェーン全体でのセキュリティ強化が求められます。
多要素認証(MFA)の導入
今回の攻撃の根本原因は、管理者の認証情報が盗まれたことにあります。この再発を防ぐうえで最も効果的な対策が、多要素認証(MFA:Multi-Factor Authentication)の導入です。
MFAとは、パスワードに加えてスマートフォンへの通知や認証アプリのコードなど、複数の方法で本人確認を行う仕組みです。npmなどの開発者アカウントにMFAを設定することで、パスワードが盗まれた場合でも不正ログインを防ぐことができます。
開発者個人のアカウントだけでなく、CI/CDシステムやサービス連携用のアカウントにも同様の対策を講じることが重要です。
脆弱性診断・SBOM等の利用
SBOM(Software Bill of Materials:ソフトウェア部品表)とは、自社のシステムがどのソフトウェアやライブラリを使用しているかを一覧化したものです。SBOMを整備しておくことで、今回のaxiosのように広く使われているライブラリが攻撃を受けた際に、自社への影響を迅速に把握できます。
脆弱性診断と組み合わせることで、知らないうちに混入した危険なソフトウェアの早期発見にもつながります。SBOMの作成・管理にはSCAツールを活用することで、手作業の負担を大幅に削減できます。
脆弱性については、以下の記事で詳しく解説しています。あわせてお読みください。
WAFの活用
今回のマルウェアは感染後、攻撃者のC2サーバー(攻撃者がウイルスに指示を送るための外部サーバー)へ60秒ごとに通信を送り続ける動作が確認されています。
WAF(Web Application Firewall)を導入することで、こうした不審な外部通信や不正リクエストをリアルタイムで検知・遮断できます。パッケージ管理やバージョン固定といった「入口対策」と、WAFによる不審通信の遮断という「出口対策」を組み合わせた多層防御が、サプライチェーン攻撃への現実的な対応策となります。
Cloudbric WAF+については、以下の記事で詳しく解説しています。あわせてお読みください。
Cloudbric WAF+とは?WAAP対応の6つの機能と選ばれる理由を解説
まとめ
今回のaxiosサプライチェーン攻撃は、正規の配布経路そのものが悪用された点が最大の特徴です。約39分という短時間で実行された攻撃は、「インストール後に確認する」という従来型の対策だけでは対応が困難であることを示しています。ロックファイルの活用・MFAの導入・SBOMの整備を組み合わせた多層的な対策に取り組むことが、今後のリスク低減につながります。
出口対策として、WAFの導入も有効な手段のひとつです。 「Cloudbric WAF+」は、サプライチェーン攻撃によるマルウェア感染後のC2通信をはじめ、Webアプリケーションへの多様な脅威をリアルタイムで検知・遮断するクラウド型WAFです。
ソフトウェアサプライチェーンのリスク対策をご検討の際は、ぜひお気軽にお問い合わせください。