GMO Flatt Security、ソフトウェアサプライチェーン診断と攻撃演習を提供開始

2026年初頭から、ソースコードリポジトリやCI/CD環境を標的とした攻撃が多発しています。3月には週間1億ダウンロード超のaxios、4月にはパスワード管理ツールBitwardenの公式パッケージが侵害され、認証情報や機密情報の窃取が確認されました。これらの攻撃は、開発者が正規のレジストリから通常のコマンドでパッケージをインストールするだけで成立するため、日々の業務がリスクに直結しています。

本診断は、依存パッケージの管理状況やCI/CD環境の構成・権限設計を横断的に評価します。攻撃が成立した場合の認証情報や機密情報の漏えい範囲をシミュレーションし、優先順位付きのアクションリストを導出します。既存のペネトレーションテストではカバーしきれない、CI/CD環境に内在する構造的なリスクに焦点を当て、両者を組み合わせることで包括的な防御を実現することが可能です。

本演習は、axiosやBitwarden CLIの実際の侵害事例に基づく机上演習です。事前ブリーフィング、演習本体、振り返りの3フェーズで構成され、開発チームが主体となってインシデント対応を実践します。ソフトウェアサプライチェーン攻撃への対応は、パッケージの利用状況やCIの実行履歴など開発現場の深い理解が不可欠なため、セキュリティチーム任せではなく開発者が自ら判断する力を養成します。診断結果を踏まえた自社環境に即したシナリオでの実施も可能です。

GMO Flatt Securityは、既に提供している「Takumi byGMO」の防御機能に加え、今回の診断と演習を通じて、ソフトウェアサプライチェーン全体のリスク可視化と開発組織の対応力強化を推進します。「エンジニアの背中を預かる」というミッションのもと、開発者が安心して開発に専念できる環境の実現に向け、サービス拡充を続ける方針です。

A. 依存パッケージの管理、CI/CD環境の分離・権限設定、トークンの分離度などを確認し、攻撃が成立した場合の被害範囲と対応優先度を可視化します。

A. axiosやBitwardenの実際の侵害事例をもとに、開発チームが主体となってインシデント対応を疑似体験する机上演習です。

• https://blog.flatt.tech/entry/axios_compromise
• https://blog.flatt.tech/entry/bitwarden_compromise
• http://flatt.tech/assessment/ssc
• https://flatt.tech/assessment/penetration_test
• http://flatt.tech/assessment/ssc/exercise
• https://flatt.tech/assessment
• https://flatt.tech/takumi
• https://shisho.dev/ja
• https://flatt.tech/kenro
• https://flatt.tech
• https://group.gmo/

O!Productニュース編集部からのコメント

axiosやBitwardenの事例を基にした机上演習、開発チームが自ら判断力を鍛えられるのがいいですね。セキュリティチーム任せにしない文化が根付きそうです。

引用元：PR TIMES