株式会社五月雨

配管・製缶などのプラント事業を
ワンストップで完成までお任せ

お問い合わせはコチラ

メニュー

日常

2026/03/31

【今日発生】よく使われるソフト部品に毒が混入。あなたのシステムは大丈夫?

2026年3月31日、世界中のウェブサービスが使っているある「部品」に、悪意のあるプログラムが仕込まれました。

「部品?うちには関係ない」と思った方、少し待ってください。
今使っているシステムや社内ツールが、気づかないうちにこの部品を使っている可能性があります。

まず「axios(アクシオス)」って何?

ウェブサービスは、裏側でたくさんのプログラム同士が「情報のやりとり」をしています。

たとえばこんな場面です。

  • 天気予報アプリが気象データを取得するとき
  • ECサイトが在庫データを確認するとき
  • 社内の業務システムが外部APIと連携するとき

このとき「情報をとってきてくれる係」として広く使われているのが axios というツールです。開発者の間では「とりあえずaxiosを入れておく」というくらいの定番品。世界中で 週に1億回以上ダウンロード されています。

「サプライチェーン攻撃」をわかりやすく言うと

今回の手口は「サプライチェーン攻撃」と呼ばれるものです。難しそうな名前ですが、例えるとこうです。

有名なお弁当屋さんに食材を納品している業者が、こっそり毒を混ぜた。
お弁当屋さん自身は何も悪いことをしていないのに、そのお弁当を買ったお客さんが被害に遭う。

今回の場合、

  1. 悪者が axios の開発者のアカウントを乗っ取った
  2. 本物そっくりの新バージョン(1.14.1)を公開した
  3. それをダウンロードした人のパソコン・サーバーに、遠隔操作ウイルスが仕込まれた

しかも 公開からわずか39分以内 に作業を完了させるという、非常に手口の速い攻撃でした。

感染するとどうなるの?

仕込まれたのは RAT(リモートアクセス型トロイの木馬) というウイルスです。これに感染すると、攻撃者がインターネット越しにあなたのパソコンやサーバーを自由に操作できる状態になります。

  • ファイルの閲覧・盗取
  • パスワードやAPIキーなどの機密情報の抜き取り
  • さらなるウイルスの追加インストール

怖いのは、感染してもすぐには気づかないという点です。

直接関係なくても注意が必要な理由

「axiosなんて使っていない」という方も油断禁物です。ソフトウェアは「部品の部品の部品」まで使っていることがあります。あなたが使っているツールが、その中で axios を使っていて、さらにその axios が今回の毒入りバージョンになっているかもしれない——これを「推移的依存」と言い、発見が非常に難しい問題です。

安全なバージョンと危険なバージョン

バージョン 状態
axios 1.14.0 以下 ✅ 安全
axios 1.14.1 ⚠️ 危険(感染の可能性)
axios 0.30.3 以下 ✅ 安全
axios 0.30.4 ⚠️ 危険(感染の可能性)

エンジニアへの具体的な対応手順

開発チームや社内エンジニアの方は、以下を確認してください。

① まず現状確認

npm list axios
npm list plain-crypto-js

② 感染が確認された場合

  • そのマシンをネットワークから切り離す
  • APIキーやパスワードをすべて変更する
  • node_modules と lockfile を削除して再インストール

③ バージョンを安全版に固定

{
  "dependencies": { "axios": "1.14.0" },
  "overrides":    { "axios": "1.14.0" }
}

④ 今後の予防策

npm install --ignore-scripts
npm ci

非エンジニアの方が今すぐできること

  1. 社内の開発担当・システム担当に共有する
    「今日 axios というツールに問題が出たみたい」と一言伝えるだけでOK
  2. 使っているサービスのサポートに問い合わせる
    「御社のサービスはaxiosを使っていますか?今回の問題への対応は?」と聞く
  3. 異常なアクセスや動作がないか確認する
    普段と違う動きがあればすぐに担当者へ連絡を

今回の事件から学べること

攻撃者は「信頼されているものを乗っ取る」という方法をとりました。ウイルス対策ソフトを入れていても、ファイアウォールを設定していても、使っている部品自体が汚染されていれば防ぎようがないというのが、この攻撃の恐ろしさです。

  • 依存しているツールのバージョンを固定する(急な更新を自動で取り込まない)
  • Snyk・Dependabot などの監視ツールを使う
  • メンテナーアカウントに多要素認証(2FA)を設定する

ソフトウェアのセキュリティは、もはや「エンジニアだけの問題」ではありません。ビジネスのインフラを守るために、経営層や現場担当者も一緒に意識を高めていく時代になっています。

参考:【緊急】axios がサプライチェーン攻撃 2026.03.31(Zenn)

ブログ記事一覧に戻る

カテゴリー

最新記事

日常

【今日発生】よく使われるソフト部品に毒が混入。あなたのシステムは大丈夫?

2026.03.31

0

最新の実績

その他

2025/11/30

新店舗スタートアッププロジェクト

その他

2025/11/11

圧力容器 定期点検作業助成

機器据付工事

2025/11/02

ケットル ベアリング取替(オーバーホール)

 もっと見る

アーカイブ

ブログを読んだら、最後に
『みたよ!』押してね!

ブログを読んだら最後に『みたよ!』を押して
もらえると代表コダマが喜びます!

  • look (0)

Topics Blogよく読まれている記事

日常

日常

朝が苦手なワタシに「電撃」の目覚め?PAVLOKという究極の選択

2026/01/22

2

日常

日常

【保存版】消費税が払えない時の救済策!「分納」の仕組みと絶対に守るべき3つのルール

2025/12/24

2

日常

日常

SMSで詐欺のメールが届いたのでツッコミを入れていく

2025/07/22

2

お問い合わせフォーム

弊社へのご依頼・ご相談などございましたら、
下記の電話番号・またはメールフォームより
お問い合わせください。

052-898-2295

メールフォームはコチラ

営業時間/8:00〜17:00 
定休日/不定休