はじめに
現代のソフトウェア開発において、JavaScriptエコシステムの重要性は論を待たない。その中でもHTTPクライアントライブラリであるAxiosは、世界中で最も広く利用されているOSS(オープンソース・ソフトウェア)の一つである。しかし、2025年から2026年にかけて、この信頼の基盤を揺るがす深刻な脆弱性の発覚と、壊滅的なサプライチェーン攻撃が相次いで発生した。
本報告書は、一連のセキュリティ事象の技術的詳細、日本国内における具体的な被害状況、および組織が取るべき防御戦略について、専門的知見から包括的な分析を行うものである。
Axiosにおける主要な脆弱性の変遷
2025年以降に報告された主要な脆弱性について、その技術的背景を整理する。
1. SSRFと認証情報の漏洩(CVE-2025-27152)
2025年3月に公表された本脆弱性は、絶対URL処理の優先順位の誤りに起因する。
- 内容: baseURL を設定していても、攻撃者が絶対URLを注入すると制約を無視してリクエストが送信される。
- 影響: 内部ネットワークへの不正アクセス(SSRF)や、Authorization ヘッダー等の認証情報が外部サーバーへ漏洩するリスクがある。
- 深刻度: CVSSv4 スコア 7.7。
2. リソース枯渇によるDoS攻撃(CVE-2025-58754)
2025年9月に報告された本脆弱性は、「data:」スキームURLの処理におけるメモリ管理の欠陥を突くものである。
- 内容: 内部の fromDataURI() 関数がサイズ制限をバイパスし、ペイロードをメモリ上に展開する。
- 影響: Node.jsプロセスのヒープメモリを急激に消費させ、プロセスを強制終了(クラッシュ)させる。
主要な脆弱性一覧(2025-2026)
| 脆弱性識別子 | 深刻度 | 主な影響範囲 | 技術的要因 |
|---|---|---|---|
| CVE-2025-27152 | 7.7 | SSRF、認証情報漏洩 | 絶対URL優先処理による境界回避 |
| CVE-2025-58754 | High | DoS(プロセス停止) | data:スキーム処理時のメモリ制限不備 |
| CVE-2026-25639 | High | DoS(サーバー停止) | Node.js用アダプタの処理不備 |
2026年3月31日のサプライチェーン攻撃
Axiosの配布経路そのものが侵害された、極めて深刻な事象である。
1. 侵害のタイムラインと国内への影響
本攻撃は北朝鮮系アクター「UNC1069」によるものと特定されている。 * 侵害期間: 日本時間(JST)2026年3月31日 09:21 〜 12:29(約3時間8分)。 * 分析: この時間帯は国内企業の始業・開発ピークと重なっており、CI/CDパイプラインによる自動更新や開発者の npm install によってマルウェアが無防備に取り込まれた可能性が極めて高い。
2. 「Silent Killer」としての隠蔽工作
侵害されたバージョン(1.14.1等)には、悪意のあるパッケージ plain-crypto-js が依存関係に追加されていた。
- 手法: インストール時に実行される postinstall スクリプトが、難読化されたドロッパーを実行し、RAT(WAVESHAPER.V2)を配備する。
- 隠蔽性: 実行後にドロッパー自身を削除し、package.json を正規のものに書き換えるため、事後の検知が非常に困難である。
今後の脅威動向
一連の事象を踏まえ、専門家として以下の動向を推測する。
- ターゲットの継続: Axiosのような超メジャーライブラリは、一度の侵害で数千万単位のターゲットにリーチできるため、今後も国家背景を持つ攻撃者による執拗なターゲティングが続くと推測される。
- 検知回避の高度化: 今回の「自己改ざんによる証拠隠滅」は、従来のファイルスキャン型セキュリティ製品を無効化する意図が見られ、今後は「振る舞い検知(EDR等)」の重要性がさらに高まると考えられる。
組織的な対応策と技術的ガードレール 従来の「定期的なアップデート」だけでは不十分である。以下の対策を推奨する。
緊急対応プロトコル(事後対応)
- 環境の完全な破棄: 感染の疑いがあるホストやCI/CDエージェントは、イメージからの再構築を基本とする。
- クレデンシャルのローテーション: 環境に保存されていたAPIキーやアクセストークンはすべて漏洩したものとみなし、即座に再発行する。 技術的ガードレールの導入(予防策)
- 依存関係の厳格な固定: package-lock.json 等を使用し、npm ci による厳格なインストールを徹底する。
- インストールスクリプトの禁止: --ignore-scripts フラグを付与し、postinstall スクリプトの実行を無効化する。
- パッケージの検疫(Quarantine): 公開から一定期間(例:1週間)経過していない新規パッケージの利用を制限する仕組みを導入する。
結論
Axiosを巡る動向は、OSS利用が重大なセキュリティ責任を伴う行為であることを示した。信頼の連鎖を守るためには、盲目的な信頼ではなく、検証可能な信頼(Verify then Trust)に基づいた開発文化の醸成こそが、唯一の有効な防御策となる。
引用文献
- Axios JavaScript Library の深刻な脆弱性 CVE-2025-27152 が FIX ...|IoT OT Security News
- JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)|セキュリティ対策 Lab
- Axiosの脆弱性がNode.jsのプロセスをクラッシュさせる可能性(CVE ...|セキュリティ対策 Lab
- axios ソフトウェアサプライチェーン攻撃の概要と対応指針|GMO Flatt Security
- Axiosを狙ったサプライチェーン攻撃:不正なnpm版によるRATの仕込み|LRQA
- axiosが侵害された日:npmサプライチェーン攻撃の全貌|Wilico
- 2026年3月 最新 サイバー攻撃の被害 事例 まとめ|セキュリティ対策 Lab
- CVE申請中 axiosを通したサプライチェーン攻撃|井戸端 - Scrapbox.io
- JPCERT/CC WEEKLY REPORT 2025-12-10|JPCERT/CC
