チェック・ポイント、npm史上最大規模のサプライチェーン攻撃による暗号通貨ウォレット侵害について警告

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）は、週20億ダウンロードのnpmパッケージが侵害され、MetaMaskやPhantomなどの暗号通貨ウォレットを狙う史上最大規模のサプライチェーン攻撃について警告しました。

主な概要

• 単一のオープンソースメンテナーへのフィッシング攻撃により、広く使用されている18のnpmパッケージが侵害されました。

• これらのパッケージは週に20億回以上のダウンロードを記録しており、悪意のあるコードが数千の関連プロジェクトに拡散しました。

• 注入されたマルウェアは、MetaMaskやPhantomなどのブラウザウォレットをターゲットとし、イーサリアム、ビットコイン、ライトコインなどの暗号資産の窃取を目的としていました。
   

• これはnpm史上最大規模のサプライチェーン攻撃であり、世界規模での影響と金銭的被害をもたらしました。

• この侵害は、単一の障害点がグローバルソフトウェアエコシステム全体を危険にさらす可能性がある、信頼ベースのオープンソースモデルの脆弱性を浮き彫りにしています。
   

• チェック・ポイントは、依存関係の監査、ロックファイルの強制適用、AI駆動のランタイム保護などを含むプロアクティブなサプライチェーンセキュリティ対策の導入をセキュリティチームに強く推奨しています。
   

攻撃の詳細
2025年9月8日、JavaScriptエコシステムは、セキュリティリサーチャーがnpm史上最大規模と呼ぶ大規模なサプライチェーン侵害を経験しました。著名なメンテナーに送信された1通のフィッシングメールにより、18を超える重要なnpmパッケージが侵害されました。これらのパッケージは合計で週20億回以上ダウンロードされていました。

攻撃者のマルウェアは、chalk、debug、supports-colorなどのパッケージに注入され、ブラウザウォレットのトランザクションを密かにハイジャックして暗号資産を窃取するよう設計されていました。標的となった通貨には、Solana、Ethereum、Bitcoinが含まれており、単なるサプライチェーン攻撃を超えた組織的な暗号通貨盗難事件と言えます。

このマルウェアはブラウザ環境で動作し、MetaMaskやPhantomのユーザーを標的に、ウォレットアドレスをリアルタイムで傍受し置き換えていました。Aikido Securityの研究者により迅速に発見されたものの、被害はすでに拡散した後でした。

この攻撃は、信頼と利便性がセキュリティ対策よりも重視されがちなオープンソースエコシステムの脆弱性を改めて浮き彫りにしました。セキュリティはソフトウェアライフサイクル全体を通じて、開発の初期段階から運用段階まで包括的に考慮する必要があることを示しています。

チェック・ポイントのセキュリティリサーチグループマネージャーのアディ・ブライ（Adi Bleih）は次のように述べています。
「この侵害事件は単なるフィッシング被害ではなく、信頼関係を悪用した巧妙な攻撃です。その影響は数千のアプリと数百万のユーザーに波及しました。たった1つの脆弱なアカウントが、世界的なソフトウェアサプライチェーン危機の引き金になることを如実に示した事例です」

チェック・ポイントの推奨事項

• 未検証のインストールを防ぐため、npm ciとロックファイルを使用する

• npm audit、Snyk、Socket.dev などのツールを使用して依存関係を監査する

• パッケージメンテナーにハードウェアベースの二要素認証を要求する

• Infinity Platformなどの     AI駆動のランタイム脅威検知・防止機能を実装する 

この大規模なnpm侵害事件への注目は薄れていくかもしれませんが、潜在するリスクは変わりません。ソフトウェアサプライチェーンの拡大とともに、攻撃者の狙う機会も増大しています。現代の開発プロセスにおいて、信頼、検証、予防をどう組み合わせるべきか、今こそ根本的に見直す必要があります。

本プレスリリースは、米国時間2025年9月10日に公開されたブログ（英語）をもとに作成しています。

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp