Microsoftのオープンソースツールがハッキング被害、AI開発者のパスワード窃取
原題: Microsoft's open source tools were hacked to steal passwords of AI developers
なぜ重要か
大手テック企業のオープンソース基盤への攻撃は、AI開発エコシステム全体のセキュリティリスクを浮き彫りにし、供給網セキュリティの重要性を示している。
Microsoftは6月8日、GitHub上でホストしている数十のオープンソースプロジェクトへのアクセスを停止したと発表した。ハッカーがプロジェクトに侵入し、パスワード窃取マルウェアをコードに注入したためで、Azure関連ツールやClaude Code、VS Codeなど、AI開発者が使用するツールが影響を受けた。
セキュリティ企業Cloudsmithとコミュニティベースのマルウェア分析サイトOpenSourceMalwareが最初にこのハッキングを発見した。マルウェアにより、ユーザーが感染したツールをAIコーディングアプリで開いた際にパスワードやその他の機密情報が盗まれる可能性があった。影響を受けたツールのダウンロード数は不明。Microsoft広報担当者Ben Hopeは「悪意のあるコンテンツの可能性を調査するため、一部のリポジトリを一時的に削除した」と述べた。「一部のリポジトリは審査後に復元されたが、作業が継続中のものはオフラインのままとなっている」とも説明した。少数の顧客に影響があった可能性があるとして通知を行ったとしている。GitHubでは少なくとも70のMicrosoftプロジェクトが「無効化」され、「GitHubスタッフによりアクセスが無効化されました」とのメッセージが表示されている。これは近月に見られるオープンソースプロジェクトへのサプライチェーン攻撃の最新例で、広く使用されるコードに狙いを定めてマルウェアを植え付ける手法だ。Ars Technicaによると、これはここ数週間でMicrosoftが経験した2度目のオープンソースプロジェクトへの侵害となる。