Jum Blog
NewsArticlesProjectsAbout
💼Business🔥🔥
CybersecuritySupply Chain AttackGitHub

Microsoft、AI 開発用 OSS 70 件超にマルウェア混入を確認──パスワード窃取のサプライチェーン攻撃

Azure 関連ツールや AI 開発用 CLI に認証情報窃取コードが注入され、Microsoft は対象リポジトリを一時閉鎖した。

リリース: 2026-06-08 · 読了 3
何が起きた

  • Microsoft が管理する GitHub 上の OSS プロジェクト 70 件以上がハッキングされ、悪意のあるコードが注入された。

  • 影響を受けたプロジェクトには Azure 関連ツールのほか、Claude Code や Gemini CLI、VS Code 向け AI 開発支援ツールが含まれる。

  • 注入されたマルウェアは、開発者がツールを使用した際にパスワードや機密資格情報を盗み出す機能を持っていた。

  • 2026 年 5 月中旬にも Durable Task プロジェクトへの侵害が発生しており、今回はその再発または新たな侵害と見られている。

なぜ重要

  • 信頼性の高い Microsoft 公式リポジトリが攻撃起点となったことで、AI 開発環境のサプライチェーンそのものが標的になっている。

  • AI 開発ツールはクラウド操作権限を持つことが多いため、パスワード窃取は単なる個人被害に留まらず、企業のクラウドインフラ全体の侵害に直結する。

👁️ 開発者

Microsoft 公式の AI 関連 CLI や SDK を利用している開発者は、直近のアップデート履歴を確認し、不審な挙動があれば即座に認証情報をローテーションすべきである。

🇯🇵 日本

Claude や Gemini を活用した AI サービスを開発する国内の SaaS 事業者や SIer は、開発環境のセキュリティポリシーを見直し、公式ツールであってもハッシュ値の検証やサンドボックス環境での実行を検討する段階に入った。

T2Microsoft's open source tools were hacked to steal passwords of AI developers | TechCrunch (2026-06-08 公開)
← 日別ページに戻るカテゴリ一覧 (business)