無料アカウントから全NPMパッケージ乗っ取りへ——「Zapocalypse」が暴いた、5つの「常識」の危険な連鎖

ステージ2：最小限の権限でECRを徹底探索

回収したAWSロールの名前は「allow_nothing_role（何も許可しないロール）」だったが、その名称とは裏腹に、4つのElastic Container Registry (ECR)権限が付与されていた。具体的には、ecr:DescribeRepositories、ecr:ListImages、ecr:BatchGetImage、ecr:GetDownloadUrlForLayerである。

これら4つの権限は、Dockerレジストリの認証トークンを必要とせず、AWS APIを直接介してコンテナイメージを取得するのに十分な権限であった。研究者はこの権限を利用し、実に1,111もの本番環境用リポジトリを列挙し、イメージのレイヤー取得APIを使ってコンテナイメージを次々と取得した。

ステージ3：コンテナイメージの「履歴」からNPMトークンを復元

取得したコンテナイメージの中から、研究者はNPMの公開用トークンが、イメージのコンフィグ履歴に漏洩しているのを発見した。このトークンは、DockerfileのARG命令を通じてビルドプロセスに渡されたものだった。ARG命令で渡された値は、イメージの不変のhistory[]フィールドに永続的にシリアライズされる。つまり、このイメージを取得できる者なら誰でも、このトークンを復元できたのである。

ステージ4：二要素認証を迂回するNPM公開権限

復元されたNPMトークンは、3つの致命的なプロパティを持っていた。

action: write

name: null

bypass_2fa: true

ステージ5：ブラウザ上でのコード実行とサプライチェーン攻撃の可能性

この攻撃チェーンにおいて最も深刻度の高いパッケージがzapier-design-systemだった。このパッケージは、zapier.com上の全ての認証済みセッションでロードされる。研究者たちはブラウザの開発者ツールでこのロードパスを確認し、ここで実証を停止した。悪意のあるパッケージの公開までは行っていない。

もし攻撃者がこのパッケージを汚染し公開していたなら、次のリリース時に攻撃者の制御下にあるJavaScriptが、認証済みのzapier.comオリジン上で実行されることになる。その状態から、攻撃者は正規ユーザーになりすましてZap（自動化ワークフロー）やテーブル、MCPサーバーを作成し、プラットフォーム上の既存の連携機能を悪用できた。連携先サービスのOAuthトークンやAPIキーはサーバーサイドにあり、ブラウザから直接は漏洩しないものの、その業務上の影響は極めて深刻なものになっただろう。

Zapierの迅速な対応

Token Securityは2026年2月12日にこの報告書を提出した。Zapierはわずか4日以内に報告をトリアージし、漏洩したNPMトークンを失効させ、基盤となるAWSロールの権限を引き締めた。そして同年3月5日までに全ての修正措置が完了したことが確認された。Zapierは、実環境での悪用の痕跡はなかったと報告している。

研究者らには、同社の報奨金プログラムの上限額である3,000ドルが支払われ、Zapierは次回のプログラム見直しで報奨金の上限を再検討することも約束した。

なお、この調査報告は、2025年11月24日に発生した実際のサプライチェーン攻撃（Shai Hulud 2.0ワームがZapierのNPMアカウントを侵害し、425のパッケージに感染した事案）とは全く別のものである点に注意が必要だ。

本質的な教訓：「組み合わせの脆弱性」はチームの谷間に落ちる

Token Securityのセキュリティリサーチチームリード、Yair Balilti氏は、今回の発見の核心をこう語った。

「この連鎖を構成する要素はすべて、既知のパターンだった。脆弱性は『組み合わせ』にあり、その組み合わせこそが、まさにチーム間の狭間に落ちるものだ。Lambdaのサンドボックス、ECRとIAM、GitLab CI（※訳注：実際にはDockerfile ARG命令）のトークン、NPMの公開、ブラウザ——これらはすべて異なるグループが担当しており、各チームは自分たちの担当範囲だけを見て『問題ない』と合理的に判断する。リスクはこれらすべてを横断する経路を追跡して初めて見えてくる。」

得られた教訓は明確だ。単一のチームが単独の脆弱性を所有していたわけではない。Lambdaサンドボックスチームは、本来スコープ外であるべきトークンが残っているだけの話であり、メモリスクレイピングを問題視しなかった。IAMチームは、ECRの読み取り専用にスコープされたロールを管理していた。CI/ビルドチームは、NPMトークンをビルド引数（ARG）として渡していた。NPMチームは書き込み権限を持つトークンを管理し、ブラウザチームはデザインシステムのパッケージを読み込んでいた。それぞれの判断は個別には合理的だったが、5つのシステムを横断した連鎖は破滅的だったのである。

これは、IDおよびアクセス権限の監査は、各コンポーネントの権限を単独でチェックするのではなく、システムの境界を越えて攻撃経路を追跡しなければならないことを示している。組織は、一見すると無害な設定が、システム間の相互作用によってどのように危険な攻撃連鎖を構成しうるのかを検証する、部門横断的なセキュリティレビューを必要としている。