ニュース
- お知らせ
Share
Trivyサプライチェーン攻撃の影響確認対象製品リスト
Trivy サプライチェーン攻撃の影響確認対象製品リスト
最終更新日:2026年4月1日
概要
Trivy は Aqua Security が開発するオープンソースの脆弱性スキャナーです。コンテナイメージ・ファイルシステム・Git リポジトリ・クラウド環境など幅広い対象に対して脆弱性・設定不備・シークレット・SBOM の検出が可能であり、CI/CD パイプラインへの統合など幅広い用途で利用されています。
2026年3月27日、OSS のコンテナスキャンツール Trivy に関するサプライチェーン攻撃が公表されました。公開情報によると、Trivy 関連リソースの一部が攻撃され、情報窃取型マルウェアが配布された可能性があります。
また、CISA が Known Exploited Vulnerabilities (KEV) Catalog を通じて、実際に悪用が確認された脆弱性への優先対応を推奨していることも踏まえ、優先度を上げて確認・対応することを推奨します。
本件サプライチェーン攻撃の概要および影響確認対象となる製品・コンポーネントを整理し、利用状況の確認および対応判断に必要な情報をまとめています。
影響確認対象の製品・コンポーネント一覧
以下は、公開情報および当社の調査に基づき、本件サプライチェーン攻撃において影響が確認されている、または影響の可能性が示されている製品・コンポーネントを一覧に整理しています。SIDfmの取り扱い製品に限らず掲載しています。
下表の「該当条件」に該当する場合は、影響を受けた可能性があります。
今後の調査や公開情報の更新により、内容は随時追加・更新されます。
| 製品 / コンポーネント | 導入経路 | バージョン | 改ざん期間 | 該当条件 | 判定 | 参照 |
| aquasec/trivy | Docker Hub | v0.69.4、v0.69.5、v0.69.6、latest | v0.69.4: 2026-03-19 18:22–21:42 UTC(約3時間)
v0.69.5–v0.69.6: 2026-03-22 15:43–2026-03-23 01:40 UTC(約10時間) |
上記タグを docker pull して利用した | 有 | Aqua Blog |
| Trivy バイナリ | GitHub Releases | v0.69.4 | 2026-03-19 18:22–21:42 UTC(約3時間) | GitHub Releases から当該バージョンをダウンロードして利用した | 有 | Aqua Blog |
| aquasecurity/trivy-action | GitHub Actions | 0.0.1 – 0.34.2 | 2026-03-19 17:43 UTC – 2026-03-20 05:40 UTC(約12時間) | タグ参照(SHA 固定なし)で当該バージョンを利用した | 有 | CVE-2026-33634 |
| aquasecurity/setup-trivy | GitHub Actions | 0.2.0 – 0.2.5(< 0.2.6) | 2026-03-19 17:43–21:44 UTC(約4時間) | タグ参照(SHA 固定なし)で当該バージョンを利用した | 有 | CVE-2026-33634 |
| Checkmarx/kics-github-action | GitHub Actions | 影響を受けたタグ参照版(詳細未公表) | 2026-03-23 12:58–16:50 UTC(約4時間) | タグ参照(SHA 固定なし)で利用した。安全版は v2.1.20 以降 | 可能性有 | Aqua Blog |
| Checkmarx/ast-github-action | GitHub Actions | 影響を受けたタグ参照版(詳細未公表) | 2026-03-23(詳細未公表) | タグ参照(SHA 固定なし)で利用した。
安全版は v2.3.33 以降 |
可能性有 | Aqua Blog |
| Trivy VSCode Extension | Open VSX | 1.8.12(Open VSX 配布版) | 不明 | Open VSX から当該バージョンを導入して利用した | 有 | CVE-2026-28353 |
| cx-dev-assist | Open VSX | v1.7.0 | 2026-03-23 02:53–15:41 UTC(約13時間) | Open VSX から上記バージョンを導入して利用した | 有 | Aqua Blog |
| ast-results | Open VSX | v2.53.0 | 2026-03-23 02:53–15:41 UTC(約13時間) | Open VSX から上記バージョンを導入して利用した | 有 | Aqua Blog |
| litellm | PyPI | v1.82.7、v1.82.8 | 2026-03-24(詳細不明) | PyPI から上記バージョンを導入して利用した | 有 | CanisterWorm |
| telnyx | PyPI | 4.87.1、4.87.2 | 2026-03-27 03:51–10:13 UTC(約6時間) | PyPI から上記バージョンを導入して利用した | 有 | CanisterWorm |
※ 「導入経路」は、対象をどこから導入したかを示します(例:Docker Hub)。
※ 「特定バージョン(詳細不明)」は、公開情報で影響範囲が特定されていない項目です。
※ 「エクスポージャーウィンドウ」の時刻は UTC(協定世界時)表記です(JST は UTC+9 時間)。
※ 影響条件の詳細は、各行の参照先(一次情報)をご確認ください。
※ 「判定」は、「有(影響確認)」と「可能性有(影響の可能性)」に分けて記載しています。
※ npm パッケージは、CanisterWorm の公開情報にある全パッケージ一覧もあわせてご確認ください。
※ 該当する場合は、シークレットのローテーション、不審なリポジトリ(tpcp-docs、docs-tpcp 等)の確認、急ぎ再ビルド・再配布を行った上で、セキュリティ専門家へのご相談をご検討ください。
同時期に観測された関連インシデント
同時期に、npm 配布の axios に対するサプライチェーン攻撃が報告されています。本件は Trivy 本体の影響確認対象とは公式の関連性が確認できませんが、同時期・同種の OSS サプライチェーン攻撃の可能性があり関連注意情報として掲載いたします。
| 製品 / コンポーネント | 導入経路 | バージョン | 改ざん期間 | 該当条件 | 判定 | 参照 |
| axios / plain-crypto-js | npm | axios@1.14.1、axios@0.30.4、plain-crypto-js@4.2.1 | 2026-03-31 00:21 ~ 03:15 (UTC) | npm で axios@1.14.1 または axios@0.30.4 を取得・導入した場合 | 有 | axios/axios: deprecate.yml (GitHub)axios issue #10604: 1.14.1 and 0.30.4 are compromised (GitHub)Socket: Axios npm package compromised |
感染が疑われる場合の確認および対処方法
バージョンの確認方法:
・npm で axios v1.14.1 / v0.30.4 を利用している場合、直ちに更新を実施してください( npm list axios コマンド等 )。
・2026-03-31 00:21 ~ 03:15 (UTC) に npm install を実施した場合、感染している可能性があります。
axios の事例においては Trivy と異なり、RAT(遠隔操作型マルウェア)が展開されたという事例が報告されています。これにより追跡することが困難な場合がありますが、以下のような情報が残存している場合があります。
・C2サーバーへの通信に用いる /tmp/ld.py ファイルの残存
・C2ドメイン sfrclak[.]com への通信が途中経路上で検出
侵害が疑われる場合は、セキュリティ専門家へのご相談をご検討ください。
※axios については情報が多くなる場合、改めての周知も検討致します。
感染が疑われる場合の確認および対処方法
感染対象となりうる製品・コンポーネントの確認方法
・.github/workflows/ 配下のYAMLファイルに trivy-action または setup-trivy の記述がある
・Docker Hub から aquasec/trivy イメージを取得・利用した
・GitHub Releases から Trivy バイナリ(v0.69.4)をダウンロードして利用した
・GitLab Container Registry / yamory 等のスキャン機能を利用している(スキャンエンジンに Trivy が採用されているもの)
・Harbor を利用しており、スキャンエンジンに Trivy を設定している
・Python パッケージにて litellm(v1.82.7 / v1.82.8)または telnyx(v4.87.1 / v4.87.2)を利用している
・Open VSX から Trivy VSCode Extension(v1.8.12)、cx-dev-assist(v1.7.0)、または ast-results(v2.53.0)を導入している
感染が疑われる場合の対処方法
シークレットのローテーション
当該ワークフローまたは環境において利用しているシークレットを直ちにローテーションしてください。以下では、シークレットの例を幾つか提示致します。
GitHub PAT
AWS アクセスキー
GCP サービスアカウントキー
Azure サービスプリンシパル
Kubernetes サービスアカウントトークン
Docker Hub 認証情報
SSH 鍵
データベースパスワード
不審なリポジトリの確認と削除
自組織の GitHub organization 内を確認し、もし tpcp-docs / docs-tpcp 等のリポジトリが存在する場合、これらは今回のインシデントにおいて侵害時に作成されるリポジトリ名です。確認の上で直ちに非公開化・削除し、セキュリティ専門家に相談することを推奨します。
安全なバージョンへの更新
侵害が発生した事実が確認できない場合であっても、前述の「影響確認対象の製品・コンポーネント一覧」をご確認の上、直ちに安全なバージョンへの更新を実施してください。
CI/CD 実行ログ等の記録の保全
必要に応じて調査できる状態を保つため、該当期間の各種ログやクラウドの API アクティビティログ(CloudTrail 等)を保全することをお勧めいたします。
予防的措置
何らかの理由でバージョン更新や根本的な対処が難しい場合、あるいは将来的な感染の可能性を少しでも低減したい場合は、以下のような対応をご検討ください。
・GitHub Actions のバージョン参照をタグからコミット SHA 固定に移行する
・CI/CD ランナーに渡すシークレットを最低限に設定する。用途で権限を分離するなどの対応を含め、万が一侵害された場合でも被害範囲が最小限になるようにする。
主要コンテナレジストリのスキャンエンジンまとめ
主要なパブリック系コンテナレジストリでは、レジストリごとに脆弱性スキャンの提供形態が異なります。Trivy を採用するサービスがある一方で、クラウド事業者は各社のマネージド機能(Inspector、Artifact Analysis、Defender など)と連携する構成を採るケースも多く見られます。
レジストリ別スキャンエンジン採用状況
| レジストリ | 採用エンジン | 要点 | 参考情報 |
| Docker Hub | Docker Scout | 旧 Snyk 連携から Docker Scout に移行。脆弱性スキャンに加え、SBOM 生成やサプライチェーン分析にも対応。 | Docker Scout ドキュメント |
| GitHub Container Registry (GHCR) | GitHub ネイティブ機能 + Actions / 外部スキャナ | GHCR はコンテナイメージの保存・管理が主目的。脆弱性スキャンは GitHub Actions や外部スキャナを組み合わせて導入するのが一般的。 | GitHub Docs |
| Amazon ECR | Basic scanning / Amazon Inspector | 基本スキャンと拡張スキャンの2種類が提供されており、拡張スキャンには Amazon Inspector を利用。 | AWS ドキュメント |
| Quay.io | Clair | Quay にネイティブ統合された Clair によるスキャンが有効化される。 | Quay ドキュメント |
| GitLab Container Registry | Trivy | 以前の Clair から移行し、現在は Trivy を標準のスキャンツールとして利用。 | GitLab ドキュメント |
| Google Artifact Registry | Artifact Analysis | Artifact Analysis の Registry scanning を通じて脆弱性情報を提供。 | Google Cloud ドキュメント |
| Azure Container Registry | Microsoft Defender for container registries | Defender for Cloud を通じて、コンテナレジストリ向けの脆弱性スキャン機能を提供。 | Microsoft Learn |
| Harbor | Trivy(標準)/ Clair 等 | 複数のスキャナを選択可能で、現在の標準は Trivy。 | Harbor ドキュメント |
参考情報
- CISA, “CISA Adds One Known Exploited Vulnerability to Catalog,” CISA, 2026年3月26日.
- rami.io, “Team PCP Timeline,” ramimac.me.
- “GitHub Discussion (インシデント概要),” GitHub.
- Aqua Security, “Ongoing Investigation and Continued Remediation (Trivy Supply Chain Attack),” Aqua Security Blog.
- “CVE-2026-26189 (trivy-action コマンドインジェクション),” NVD.
- “CVE-2026-26189,” Aqua AVD.
- “CVE-2026-28353 (Trivy VSCode Extension),” Aqua AVD.
- “CVE-2026-28353,” NVD.
- “GHSA-69fq-xp46-6×23,” GitLab Advisory Mirror.
- “CVE-2026-33634,” CVE.org.
- “CanisterWorm – npm サプライチェーン攻撃の詳細,” socket.dev.
- “Docker Scout Documentation,” Docker Docs.
- “Working with the Container registry,” GitHub Docs.
- “Scan container images for software vulnerabilities in Amazon ECR,” AWS Documentation.
- “Project Quay Documentation,” Project Quay Docs.
- “Container Scanning,” GitLab Docs.
- “Container Scanning overview,” Google Cloud Docs.
- “Defender for container registries,” Microsoft Learn.
- “Vulnerability Scanning,” Harbor Documentation.
- Checkmarx, “Checkmarx Security Update,” Checkmarx Blog.
- BerriAI, “Security Update March 2026,” LiteLLM Docs.
- “PYSEC-2026-2 (litellm),” PyPA Advisory Database.
- Telnyx, “Telnyx Python SDK Supply Chain Security Notice,” Telnyx.
- “PYSEC-2026-3 (telnyx),” OSV.
- “Supply Chain Attack on Axios Pulls Malicious Dependency from npm,” Socket Blog.
- “npm user jasonsaayman,” Socket Package Intelligence.
- TeamPCP Hacks Checkmarx GitHub Actions Using Stolen CI Credentials
更新履歴
- 2026年04月01日
- 次の内容を追記しました。
- 同時期に観測された関連インシデント
- 感染が疑われる場合の確認および対処方法
- 感染対象となりうる製品・コンポーネントの確認方法
- 感染が疑われる場合の対処方法
- 次の内容を追記しました。
- 2026年03月31日
- 新規公開