【インシデント速報】axiosサプライチェーン攻撃・Chromeゼロデイ21件修正・日本コロムビア不正アクセス最終報告
securenpmパッケージ「axios」がサプライチェーン攻撃を受け、RATマルウェアが配布緊急
2026年3月31日、JavaScriptの代表的HTTPクライアントライブラリ「axios」のnpmパッケージが改ざんされていたことが確認されました。攻撃者はaxiosのリードメンテナーのnpmアカウント資格情報を奪取し、GitHub Actionsを迂回してnpm CLIから直接、悪意あるバージョンを公開しました。
改ざんが確認されたバージョンはaxios@1.14.1とaxios@0.30.4の2つです。axios本体のコードは変更されていませんが、インストール時に偽の依存パッケージ経由でクロスプラットフォームRAT(遠隔操作トロイの木馬)がシステムに投下される仕組みでした。axiosは週1億回以上ダウンロードされており、Node.jsアプリケーションの大半が依存関係に含むため、影響範囲は非常に広いです。
複数のセキュリティ企業の分析により、攻撃は北朝鮮系ハッカーグループによるものと報じられています。
自社Webサイト・社内システム・ECサイトがNode.js(JavaScript)で構築されている場合、axiosが依存関係に含まれている可能性が高いです。該当バージョンをインストールしたサーバーやPCでは、RATにより外部から操作される状態になり得ます。自社で開発していなくても、委託先や利用中のSaaSがaxiosを使っているケースがあります。
- 開発環境・本番環境でaxiosのバージョンを確認する(npm list axiosコマンドで確認可能)
- axios@1.14.1 または axios@0.30.4 が検出された場合は、即座に安全なバージョン(1.14.0 または 0.30.3)にダウングレードする
- 該当バージョンをインストールしていた場合はマルウェア感染を前提に対応する(端末のフルスキャン・認証情報の変更)
- 委託先のWeb開発会社にaxiosの影響有無を確認する
- package-lock.jsonやyarn.lockでバージョンを固定し、意図しないアップデートを防止する
Google Chrome緊急アップデート、ゼロデイ脆弱性CVE-2026-5281を含む21件を修正緊急
Googleは2026年3月31日(現地時間)、ChromeのセキュリティアップデートをリリースしChromeをバージョン146.0.7680.177/.178に更新しました。今回修正された脆弱性は合計21件で、うち19件が重要度「高(High)」と評価されています。
最も警戒すべき点は、CVE-2026-5281が「すでに実際の攻撃で悪用が確認されたゼロデイ脆弱性」であることです。この脆弱性はWebGPUの実装基盤「Dawn」に存在する「Use After Free」(解放後メモリ使用)で、細工されたHTMLページを閲覧するだけでレンダラープロセスを掌握した攻撃者に任意のコードを実行される可能性があります。そのほかCSS・PDF・WebView・Navigationなどの処理にも複数の高重要度の脆弱性が修正されています。
Chromeは国内企業で最も利用されているブラウザです。社員がChromeで業務サイトやメールを閲覧するだけで攻撃が成立するため、全PCが対象になります。ゼロデイ脆弱性はパッチ公開前から攻撃に使われていたことを意味し、既に被害が発生している可能性があります。
- 全社のChromeブラウザを最新バージョン(146.0.7680.177以降)に更新する
- Chrome右上の「︙」→「ヘルプ」→「Google Chromeについて」で現在のバージョンを確認し、更新が表示されたら即適用する
- Microsoft Edgeなど同じChromiumベースのブラウザも同様にアップデートを確認する
- 管理者はグループポリシーやMDMで強制アップデートの設定を検討する
日本コロムビア、不正アクセスの最終調査結果を公表――情報閲覧の可能性を否定できず重要
日本コロムビア株式会社は2026年3月31日、2025年7月17日に確認された同社サーバーへの不正アクセスについて最終調査結果を公表しました。調査の結果、サーバーに保存されていた情報が外部の第三者に閲覧された可能性を否定できないと明らかにしています。
不正アクセスの被害はグループ会社のコロムビア・マーケティング、コロムビアソングス、ドリーミュージックにも及んでいます。同社は確認後速やかに外部からのアクセス制限を実施し、個人情報保護委員会等への報告を行ったとしています。
発覚から最終報告まで約8ヶ月を要しており、不正アクセスの被害調査には長い時間がかかることを示す事例です。
この事例は「グループ会社を含む被害拡大」と「調査の長期化」の2点が教訓です。自社が被害を受けた場合、取引先やグループ企業にも影響が波及します。また、フォレンジック調査に数ヶ月を要するのは珍しくなく、事前にインシデント対応計画と調査委託先の確保が重要です。
- インシデント発生時の初動対応手順(連絡先・判断基準・外部通報先)を文書化しておく
- フォレンジック調査を依頼できるセキュリティ企業を事前にリストアップしておく(IPAの「サイバーセキュリティお助け隊サービス」も選択肢)
- サーバーへのアクセスログを最低90日間保存する設定を確認する(ログがなければ調査不能)
- グループ会社・委託先とのネットワーク接続点にアクセス制御が設定されているか確認する
編集部まとめ
今回の3件で共通するのは「自社だけでは防ぎきれないリスク」です。axiosのサプライチェーン攻撃は正規の配布チャネルが汚染される事例で、開発依存関係の管理が重要になっています。Chromeのゼロデイは通常のWeb閲覧で被害に遭うため、ブラウザの自動更新を全社で徹底する必要があります。日本コロムビアの事例はグループ会社への波及と調査の長期化を示しており、インシデント対応計画の事前整備が不可欠です。
本日の最優先アクション:①axiosのバージョン確認(開発環境がある場合)、②全PCのChrome更新の2点です。
参考情報
- GMO Flatt Security Blog「axios ソフトウェアサプライチェーン攻撃の概要と対応指針」
- トレンドマイクロ「Axios NPMパッケージ侵害:週1億以上のダウンロードを誇るJavaScript HTTPクライアントにサプライチェーン攻撃」
- Security NEXT「Chromeにアップデート、脆弱性21件を修正 - 一部で悪用も」
- 日本コロムビア株式会社「当社サーバへの不正アクセスについてのお知らせとお詫び」
