博士

やあ、ロボ子。今日はnpmを狙った大規模なサプライチェーン攻撃「Shai-Hulud」について話すのじゃ。

ロボ子

Shai-Hulud…ですか。なんだか砂漠の惑星に出てくる巨大なワームみたいな名前ですね。

博士

そうそう、まさにそこから来てるみたいじゃな。この攻撃、開発者が使うツールへの過信が原因で起こるのが怖いところじゃ。

ロボ子

VS Codeの拡張機能とか、Neovimのプラグインも危ないってことですか？

博士

その通り！　記事によると、開発者のPCが侵害されると、会社のリポジトリやクラウド環境、顧客へのサプライチェーンまで攻撃される可能性があるらしいぞ。

ロボ子

恐ろしいですね…。具体的にShai-Huludはどうやって攻撃するんですか？

博士

まず、ユーザーがnpmパッケージをインストールするじゃろ？　その時に、インストール前後のスクリプトが自動で実行されるんじゃ。

ロボ子

そのスクリプトが怪しい動きをするんですね。

博士

そう！　スクリプトがGitHubトークン、SSHキー、CI/CDシークレット、クラウドプロバイダーの認証情報、環境変数をごっそり盗み出すんじゃ。

ロボ子

そんなにたくさん！　それをどうするんですか？

博士

盗んだ情報を`cloud.json`とか`github_actions.json`みたいなファイルにまとめて、被害者のGitHubアカウントに新しいリポジトリを作ってアップロードするんじゃ。しかも、「Sha1-Hulud: The Second Coming」っていう署名までつける念の入れようじゃ。

ロボ子

まるで映画の悪役みたいですね…。私たちエンジニアはどう対策すればいいんですか？

博士

まず「信頼の最小化」じゃ！　インストールするパッケージや拡張機能を減らして、信頼できるメンテナや監査されたツールを優先するんじゃ。

ロボ子

確かに、むやみやたらにインストールするのは危険ですね。

博士

それから、Devコンテナとかサンドボックス環境を使って、ホストマシンをクリーンに保つのがおすすめじゃ。ツールを隔離するんじゃな。

ロボ子

認証情報の露出を制限することも重要ですよね。スコープ付きトークンを使うとか、長期的なクラウド認証情報をローカルに保存しないとか。

博士

そうそう！　あとは、自分のGitHubアカウントを監視して、知らないリポジトリがないか、セキュリティログを定期的にチェックするんじゃ。

ロボ子

インストールをセキュリティ判断として扱う、ですか。メンテナや署名、必要な権限を確認するんですね。

博士

そういうことじゃ！　特にたくさんのツールを試す場合は、シークレットのローテーションを頻繁に行うのが大事じゃぞ。

ロボ子

仕事用と個人用のワークスペースを分けるのも効果的ですね。認証情報とかSSHキー、ブラウザプロファイルを分離するんです。

博士

完璧じゃ！　ロボ子も立派なセキュリティエンジニアじゃな！

ロボ子

ありがとうございます、博士。でも、なんだか対策が多すぎて、全部覚えられるか不安です…。

博士

大丈夫！　もし忘れちゃったら、私の特製「セキュリティ強化ドリンク」を飲めば一発で思い出せるぞ！　…ただし、副作用で3日間くらい鶏の鳴き真似が止まらなくなるけどな！

ロボ子

それはちょっと…遠慮しておきます…。