IssueHunt、悪性パッケージ自動検知と専門家サポートを提供開始

現代の開発ではコードの約8割がOSSに依存しており、攻撃者はこの依存関係を主要な侵入口として狙っています。2025年10月から12月の3か月間で39万件以上の新たなマルウェアパッケージが特定され、前年同期比で476％の急増となりました。さらに、AIが実在しないパッケージ名を生成する「幻覚」が約18〜21％の確率で発生し、攻撃者が同名の悪性パッケージを公開して開発者に取り込ませるリスクが現実化しています。悪性パッケージは混入と同時に認証情報の窃取やインフラ破壊を引き起こすため、従来の既知の脆弱性対策だけでは不十分で、リアルタイムの検知と対応が欠かせません。

本ソリューションは、SBOMの自動生成により脆弱性や悪性パッケージを継続的に可視化し、有名パッケージの侵害など災害級の事案発生時には自動通知を行います。侵害が検知された場合には、攻撃の意図を情報窃取や破壊などに分類し、セキュリティ専門家が速報レポートを提供するだけでなく、利用者の環境に応じた初動対応までサポートします。また、IssueHuntのリサーチチームが最新のマルウェアデータセットや独自の監視から得た知見を検知エンジンに反映し、事後対応の詳細まで支援します。

サービスはBasicプランとAdvancedプランの2種類です。Basicプランでは、継続的なSBOM管理や定期・即時スキャンによる脆弱性・悪性パッケージの検出、侵害発生時の通知と詳細レポートの提供が含まれます。Advancedプランでは、これらの機能に加えて、ローカル環境やCI環境でのパッケージインストール時のブロック機能など、事前防止策を強化する予定です。対応パッケージ管理システムは、npmやPyPI、RubyGems、Maven、NuGet、Go Modules、Cargo、Packagistなど多岐にわたります。

A. 一見すると正規のソフトウェア部品ですが、内部に認証情報の窃取やシステム破壊を目的としたコードが仕込まれているパッケージです。

A. 既存の診断が既知の脆弱性情報に基づくのに対し、SBOM監視はソフトウェアの構成部品を常時追跡し、新たに発見された悪性パッケージも即座に検知できます。

A. 攻撃の意図を分類した速報レポートが提供され、さらに専門家がお客様の状況に応じて初動対応を支援します。

• https://issuehunt.jp/
• https://www.sonatype.com/blog/open-source-malware-index-q4-2025-automation-overwhelms-ecosystems
• https://arxiv.org/pdf/2406.10279
• お問い合わせ
• https://issuehunt.co.jp/
• https://issuehunt.co.jp/contact
• https://issuehunt.jp/cases/nec
• https://issuehunt.jp/cases/subaru
• https://issuehunt.jp/cases/sansan
• https://issuehunt.jp/cases/cyberagent
• https://issuehunt.jp/cases/lineworks
• https://issuehunt.jp/cases/cyberbuzz
• https://issuehunt.jp/cases/lifull
• https://issuehunt.jp/cases/carta-holdings
• https://issuehunt.jp/cases/hennge

O!Productニュース編集部からのコメント

SBOMの自動生成と専門家の初動対応までワンストップなのが心強いですね。依存関係が膨らみがちなプロダクトほど検討の価値がありそうです。

引用元：PR TIMES