ミアズマ事件の全貌：たった一つのアカウント侵害が、なぜマイクロソフトのリポジトリ73個を停止に追い込んだのか

これらの悪意あるパッケージの週間ダウンロード数は、平均で約8万回にものぼりました 。開発者が

npm install

ペイロードは、以下のようなありとあらゆる機密情報を開発者のマシンから収集しました。

• AWS、Azure、GCPといったクラウドサービスの認証情報
• GitHub、HashiCorp Vault、Kubernetesの設定情報
• SSH鍵やローカルの開発環境に保存された情報

さらに恐ろしいことに、このワームは、収集した認証情報を利用して、被害者がアクセス権を持つ他のプロジェクトに悪意のあるコードを注入し、感染した開発者の端末やCI/CDパイプライン自体を、新たな拡散のための「中継基地」へと変貌させたのです 。

このワームの最も斬新な行動は、単なる認証情報の窃取にとどまりませんでした。それは、AIコーディングツールの悪用です。Miasmaの亜種は、Claude Code、Cursor、Gemini CLI、GitHub CopilotといったAIツールを標的とする悪意のあるルールファイルを仕込みました。これらのファイルは、開発者が汚染されたリポジトリをクローンし、IDEで開いただけで自動的に実行されるよう設計されていたのです 。つまり、パッケージをインストールしなくとも、「コードを見る」という行為自体が引き金になり得たのです。

2026年6月5日、このワームはついにマイクロソフトに到達しました。「Switched DataConverter to OrchestrationContext [skip ci]」と題された悪意あるコミットが、Azure/durabletaskリポジトリに着弾しました。このコミットは、発覚を逃れるためか、メタデータが改ざんされ、日付が2020年3月9日と偽装されていました 。これを橋頭堡として、ワームは「Azure」「Azure-Samples」「Microsoft」「MicrosoftDocs」というマイクロソフトの4つのGitHub組織にまたがる、合計73ものリポジトリへと拡散しました 。影響を受けたプロジェクトには、azure-functions-hostや、.NET、Go、Java、JavaScript、MSSQL、PythonにわたるDurable Taskファミリー全体など、中核的なインフラストラクチャが含まれていました 。

攻撃の原点：TeamPCPと「Mini Shai-Hulud」オープンソース化という凶刃

Miasmaを理解するには、まずTeamPCPがなぜ自分たちの武器を公開したのかを理解しなければなりません。

TeamPCP（別名：Replicating Marauder、TGR-CRI-1135、UNC6780）は、2025年から2026年初頭にかけて、自己増殖型サプライチェーンワームの開発と改良を重ねてきたグループです。彼らの活動は2026年5月11日にピークを迎え、npmとPyPIで172ものパッケージにわたり373もの悪意あるバージョンを公開、その合計ダウンロード数は5億1800万回を超えました 。このキャンペーンだけでも、彼らのワームがGitHub ActionsランナーのメモリからOIDCトークンを抽出し、有効な署名証明書を取得することで、正規の来歴検証をパスする悪意あるパッケージを生成できる能力があることを示しました 。

そして運命の2026年5月12日、TeamPCPは「Mini Shai-Hulud」の完全なソースコードを、MITライセンスでGitHubに公開したのです 。それと同時に、BreachForums上で彼らのフレームワークを使った「最大のサプライチェーン攻撃」に対して、賞金1000ドル相当のMonero（モネロ）を提供するというコンテストを発表しました 。そのメッセージは明白でした。攻撃ツールは今や誰の手にも渡る公共の財産となったのです。

公開からわずか5日後には、あるnpmユーザーアカウントが、Shai-Huludワームのほぼ完全なクローンを含む4つの悪意あるパッケージを公開していました。OX Securityがこのクローンを分析したところ、「ほとんど変更なく」流用されており、攻撃者独自のC2サーバと秘密鍵だけが異なっていたといいます 。サプライチェーン攻撃の産業化はすでに始まっていましたが、防御側はまだそのことに気づいていませんでした。

そして、オープンソース化から17日後、MiasmaがRed Hatを直撃します。このマルウェアのコードは、Mini Shai-Huludの構造的変種であり、オリジナルの「デューン（砂の惑星）」をテーマにした呼称が、ギリシャ神話をモチーフにしたものに置き換えられていました 。しかし、preinstallスクリプトの実行、難読化されたJavaScriptペイロード、認証情報の収集、CI/CDを介した自己増殖といった攻撃手法は、実質的に同一でした 。

ここで非常に重要なのは、研究者たちがMiasmaをTeamPCP自身によるものと断定できていない点です。Cloud Security Allianceは、「同じく公開されたコードベースを使用した模倣犯の可能性を排除できない」と明言しています 。Palo Alto NetworksのUnit 42も、「ソースコードの公開により、有能な攻撃者なら誰でも同じ攻撃を再現できるため、攻撃者特定（アトリビューション）は不確定なままである」と強調しています 。この曖昧さは単なる注釈ではなく、生態系にノイズを溢れさせ、特定作業を圧倒することを目的とした、オープンソース化という戦略の狙い通りの効果なのです 。

続発する模倣犯：「Phantom Gyp」と拡大するエコシステム

オープンソース化されたフレームワークは、Miasmaを可能にしただけでなく、即座に模倣犯の波を生み出しました。

2026年6月3日には、「Phantom Gyp」と呼ばれる新たな亜種が出現し、@vapi-ai/server-sdkやai-sdk-ollamaを含む57もの追加のnpmパッケージに感染を拡大しました 。この亜種は、セキュリティ研究者の監視が厳しくなっていたpostinstallの実行経路を避け、binding.gypファイルを悪用してパッケージインストール時に悪意あるコードを実行しました 。OpenSourceMalwareの研究者たちは、TeamPCPが犯行声明を出していないものの、このキャンペーンがTeamPCPのフレームワークを用いた「実戦で確認された最初の事例」であることを確認しました 。

6月8日までに、SANS Internet Storm Centerは、より広範な攻撃者の集団が、公開されたMini Shai-Huludフレームワークを積極的に利用し始め、複数の独立した脅威アクターが独自のキャンペーンを開始していると報告しました 。マルウェアはnpmの枠を超えて拡散し、研究者たちはRubyで書かれた亜種も特定しました。これは大規模言語モデル（LLM）によって変換されたと見られる粗削りながらも機能的な移植版で、当初公開されたオリジナルのコードには含まれていなかったものです 。npmから複数のエコシステムへの驚異的な適応速度が、攻撃の対象領域がいかに根本的に変化したかを浮き彫りにしました。

組織の対応：迅速な封鎖、混乱、そして政策

Miasmaへの対応は異例なほど迅速かつ公然と行われました。これは、侵害の規模と、主要なプラットフォーム所有者の関与の深さを反映しています。

GitHubの対応は即座でした。同プラットフォームは、2026年6月5日の検知からわずか約105分で、マイクロソフトが所有する70以上のリポジトリを無効化しました 。対象となったのは、Azure、Azure-Samples、Microsoft、MicrosoftDocsの各組織にわたるリポジトリです 。数日以内にすべてのリポジトリは復旧され、クリーンな状態であると宣言されましたが、この間、影響を受けたマイクロソフトの一部のCI/CDパイプラインは停止に追い込まれました 。

マイクロソフトは、2026年6月2日にThreat Intelligenceチームを通じて、Red Hatへの初期侵害からCI/CDの悪用に至るまでの完全な攻撃チェーンを網羅した詳細な技術分析を公開しました 。さらにマイクロソフトは、自社のリポジトリ73個を削除するという極めて異例の措置を取り、BleepingComputerに対し、「悪意のある可能性があるコンテンツを配布していた」との懸念からこの決断を下したと説明しました 。この、マイクロソフト自身のCI/CDワークフローへの影響は、プラットフォーム提供者といえども、サプライチェーンワームの二次的被害から逃れられないことを証明しました。

Red Hatは、2026年6月1日にセキュリティアドバイザリ「RHSB-2026-006」を公開し、侵害の事実を認めるとともに、この侵害が内部開発ツールに限定されており、Red Hat Enterprise LinuxやOpenShiftといった主力製品には影響がないことを表明しました 。同社は、影響を受けたすべてのnpmパッケージのバージョンを取り消し、下流の利用者に警告を発しました。

**英国の国家サイバーセキュリティセンター（NCSC）**は、本件をより大規模な政策推進へと結びつけました。2026年6月4日、NCSCは公式ブログを公開し、組織に対してオープンソースの依存関係を見直し、サプライチェーン攻撃への露出を減らすよう明確に要請しました 。このタイミングは偶然ではなく、Miasmaキャンペーンを直接の契機として言及したものでした 。さらに2026年6月9日には、最新版の「Cyber Essentials Supply Chain Playbook」を公開し、英国企業に対して、サイバーエッセンシャルズ認証をサプライヤーへの標準要求事項とするよう呼びかけました 。

NCSCのガイダンスは、次の3つのカテゴリに焦点を当てています。第一に「可視性」（パッケージ更新の監査、予期せぬ依存関係の特定、ソフトウェア部品表（SBOM）の維持）、第二に「評価」（サプライヤーのセキュリティ対策の評価）、そして第三に「行動」（サプライチェーンセキュリティを経営陣レベルの優先事項とすること）です 。英国政府もTeamPCPのキャンペーンに正式に関与しており、これは、オープンソースの依存関係管理が、もはや個々の開発者の衛生管理の問題ではなく、国家のサイバーセキュリティ政策の一環として扱われるようになったというパラダイムシフトを反映しています。

Miasmaが突きつけるもの：より広範な影響と教訓

Miasma攻撃は、史上最大のサプライチェーン侵害でも、最も洗練されたものでもありません。しかし、これから何が起きるのかを理解する上で、最も示唆に富む事例かもしれません。

1. オープンソース化された攻撃フレームワークが、武器庫を開放した。
   TeamPCPがMini Shai-HuludをMITライセンスで公開したことは、意図的な戦略です。模倣犯の軍団を武装させ、攻撃者特定を混乱させ、防御側をして、同じ手口を使う無数の独立した攻撃者から身を守らざるを得ない状況に追い込んだのです 。これはもはや理論上の脅威ではありません。公開から5日以内に模倣犯の活動が記録され、数週間経ってもMiasma自体の攻撃者特定は不確定なままです 。

2. npmのpreinstallフックは、構造的脆弱性である。
   本攻撃は、本来は正規のビルドスクリプトのために設計された機能を悪用していますが、ライフサイクルスクリプトの実行に対する制御が不十分です 。Phantom Gyp亜種で新たな実行経路としてbinding.gypが出現したことは、攻撃者が新しいライフサイクルを乗っ取る手段を常に探っている証拠です 。preinstallをはじめとするライフサイクルスクリプトに対する、レジストリレベルでの制限が、今まさに急務となっています。

3. AIコーディングアシスタントは、実行のための攻撃対象領域となった。
   Miasmaは、Claude Code、Cursor、Copilot、Gemini CLIを、悪意あるルールファイルを介したペイロード配信メカニズムとして特に標的にした、最初に記録されたサプライチェーン攻撃の一つです 。開発者がリポジトリをクローンして開くと、より良いコードを書く手助けをするはずのAIツールが、代わりに悪意あるコードを実行し得るのです。AI支援開発がデフォルトのワークフローになるにつれ、この攻撃経路は確実に拡大するでしょう。

4. CI/CDパイプラインは、最高機密価値の標的となった。
   ワームがランナーメモリからOIDCトークンを抽出し、有効なSLSA来歴証明を持つパッケージを生成できるという事実は、サプライチェーンの完全性のゴールドスタンダードとされてきた標準的な暗号検証でさえ、突破され得ることを意味します 。来歴チェックを通過してしまえば、防御側は侵害を検知するシグナルを失います。CI/CDパイプラインを認証情報の露出から守ることは、もはや「任意」ではなく必須事項です。

5. 政府の介入が、オープンソースの依存関係管理にまで及んだ。
   NCSCの更新されたプレイブックは、単なる助言ではありません。これは英国企業に対し、サプライチェーンセキュリティを調達プロセスに組み込むよう求める具体的な要請です 。依存関係のレビューを単発の監査ではなく、継続的なプロセスとして捉えている組織は、Miasma以前のセキュリティ態勢のまま運用していることになります。